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FlaskZ 2K 


«explore flask》 中 文 翻 译 


欢迎 来 到 该 译本 的 生产 地 点 | 任何 bug report# 4 
的 pull redquest 都 会 受到 热烈 欢迎 | 不 要 狂笑 ! 


如 果 你 想 购买 PDF 格式 的 英文 原本 ， 前 往 
http://exploreflask.com ° 


想 参 与 


如 果 你 对 本 书 有 些 建议 ， 你 可 以 在 issue 面 板 新 开 
一 个 issue 或 提交 一 个 pull request。 如 果 你 准备 进 
行 较 大 的 改动 ， 最 好 先 在 issue 中 提 及 ， 这 样 我 们 
好 能 事先 讨论 这 么 做 有 没有 必要 。 

译 者 : 如 果 是 关于 翻译 方面 的 问题 ， 欢 迎 提 issue 
或 pull request。 如 果 是 关乎 内 容 的 问题 ， 请 移 


步 https://github.com/rpicard/explore-flask 


3 ` 
协议 


中 文 译本 的 协议 同 美 文 原本 ， 使 用 Create 
Commons Attribution-NonCommercial 3.0 
Unported license ° 你 可 以 自由 地 分 发 并 修改 本 
书 ， 前 提 是 保证 不 把 它 重 新 销售 并 保留 原作 者 (我 
指 的 是 英文 原本 作者 ) 的 作品 归属 权 。 


感谢 


由 于 本 人 水 平 有 限 ， 翻 译 过 程 中 难免 有 错漏 之 
处 。 感 谢 帮 忙 校 正 的 各 位 网 
A : https://github.com/spacewander/explore- 
flask-zh/graphs/contributors 


下 载 


见 https://github.com/spacewander/explore-flask- 
Zh/wiki/%E4%B8%8B%E8%BD%BD 


本 书 旨 在 展示 使 用 Flask 的 最 佳 实践 。 开发 一 个 普 

通 的 Flask 应 用 需要 跟 形 形 色色 的 领域 打交道 。 比 

如 ， 你 经 常 需要 操作 数据 库 ， 验 证 用 户 。 在 接 下 

来 的 几 页 里 我 将 尽 我 所 能 来 介绍 处 理 这 些 事情 时 

E ° So 能 有 用 ， 但 我 布 
望 它们 在 大 多 数 情况 下 都 是 一 个 好 选择 。 


假设 


为 了 给 你 提供 更 贴切 的 建议 ， 我 将 基于 几 个 基本 
的 假设 撰写 本 书 。 当 你 阅读 并 在 自己 的 项 目 中 应 
用 这 些 建 议 时 ， 请 勿 忘 这 一 点 。 


LIK 


aS 


本 书 的 内 容 基 于 官方 文档 之 上 。 我 强烈 建议 你 深 
入 阅读 官方 用 户 指南 和 新 手 教 程 。 这 将 给 你 一 个 
更 熟悉 Flask 的 机 会 。 你 至 少 需 要 知道 什么 是 
view，Jinja 模 板 的 基础 知识 以 及 新 手 应 有 的 其 他 
基本 概念 。 我 会 尽量 避免 重 提 用 户 指南 中 存在 的 
信息 ， 所 以 如 果 直 接 阅 读本 书 ， 你 就 会 有 对 阅读 
官方 文档 的 急迫 需求 〈 这 不 错 吧 ? ) 。 


虽然 这 么 说 ， 本 书 涉及 的 主题 并 不 高 深 。 本 书 仅 
仅 是 强调 减轻 开发 者 负担 的 最 佳 实践 和 模式 。 尽 
EERIE TLS PRO AY AO RY 
会 再 次 强调 一 些 概念 来 加 深 印 象 。 在 阅读 这 部 分 
内 容 时 ， 你 不 需要 重读 新 手 教程 。 


版 本 


Python 2 :€ x Python 3 


当 我 写 下 此 文 ， Python 社区 正 处 于 从 Python 23 
移 到 Python 34) 4% Z P ° Python Software 
Foundation 的 官方 态度 如 下 : 


Python 2.x is the status quo, Python 3.x is the 
present and future of the language.Python 
wiki: python23& Æ python3 


到 了 版 本 0.10，Flask 现 在 可 以 在 Python 3.3424 
行 。 就 新 的 Flask 应 用 是 否 需要 使 用 Python 3 的 问 
题 ， 我 问 过 Armin Ronacher， 他 回答 说 ， 这 不 是 
必须 的 : 


我 自己 现在 并 不 用 它 ， 我 也 不 会 向 别人 推荐 自 
己 都 不 相信 的 东西 ， 所 以 我 不 会 推荐 Python 3. 
-- Armin Ronacher, Flask 作 者 我 和 Armin 
Ronacher 的 对 话 


主要 的 理由 在 于 许多 常用 的 包 没 有 Python 3 的 版 
本 。 你 总 不 会 愿意 接受 用 python 3 开发 了 几 个 月 
后 发 现 目 己 不 能 使 用 包 X,YZ...... 也 许 总 有 一 天 
Flask 官 方 将 推荐 用 Python 3 开始 新 的 项 目 ， 但 是 
现在 依然 是 Python 2 的 天 下 。 


J ik. 


Python 3 Wall of Superpowers 记 录 了 一 些 已 经 移 
植 到 Python 3 的 包 。 


既然 本 书 需要 提供 实践 上 的 建议 ， 我 将 假定 你 正 
使 用 Python 2。 更 准确 地 说 ， 我 将 基于 Python 
2.7 撰 写本 书 。 随 着 Flask 社 区 的 变迁 ， 将 来 的 更 新 
会 改变 这 一 点 ， 但 是 在 当下 ， 我 们 依然 活 在 
Python 2.7 的 世界 里 。 


Flask 版 本 0.10 


正当 本 书 撰写 之 时 ，0.10 有 是 Flask 的 最 新 版 本 ( 准 
确 说 ， 是 0.10.1 版 ) 。 本 书 中 大 多 数 内 容 不 会 受到 
Flask 的 较 小 的 变动 的 影响 ， 但 是 你 需要 了 解 这 一 
点 9 


持续 集成 


本 书 的 内 容 将 持续 更 新 ， 而 不 是 周期 性 发 布 。 这 
样 做 有 一 个 好 处 ， 内 容 可 以 得 到 及 时 地 更 新 ， 而 
RAE FP o 所 以 这 个 网 站 内 容 将 会 比 印刷 版 
甚至 PDF 更 加 前 沿 。 


本 书 用 到 的 约定 

各 草 独 立成 文 

本 书 的 每 一 章 独 立成 文 。 许 多 书 和 教程 通 篇 浑然 
一 体 。 通 常 这 意味 着 ， 一 个 示范 程序 或 一 个 应 用 
的 创建 和 更 新 将 贯穿 全 书 来 展示 概念 和 主题 。 本 


书 的 范例 将 散布 于 每 一 章节 来 展示 概念 ， 但 不 意 
味 着 这 些 范例 可 以 组 合成 一 个 大 的 项 目 。 


格式 
示例 代码 将 以 代码 块 形式 来 呈现 。 


print “Hello world!” 


目录 列表 有 时 会 被 用 来 展示 一 个 应 用 或 目录 的 大 
致 结构 。 


static/ 
style.css 
logo.png 
vendor/ 
jquery.min.js 


脚注 会 用 于 引用 中 ， 这 样 就 不 会 跟 正 文 混乱 起 来 
了 。 

斜体 将 用 来 表示 文件 名 。 

粗 体 将 用 来 表示 新 的 或 重要 的 内 容 。 


注意 这 里 会 有 容易 掉 进 去 (而 且 会 造成 大 问 
题 ) 的 坑 


参见 这 里 会 有 一 些 补充 信息 。 


© 本 书包 含 了 使 用 Flask 的 最 佳 实践 。 
。 我 假定 你 通读 了 Flask 教 程 


。 本 书 基于 Python 2.7 

。 本 书 基于 Flask 0.10 

。 通 过 年 度 审查 ， 我 尽量 让 本 书 的 内 容 保持 更 
新 。 

。 本 书 中 每 一 章 独立 成 文 。 

。 我 通过 一 些 约定 来 表达 跟 内 容 相关 的 附加 信 
AL o 


。 每 草 的 结尾 都 会 出 现 对 本 章 内 容 的 总 结 。 


oe AAA 
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代码 约定 


在 Python 社区 中 有 许多 关于 代码 风格 的 约定 。 如 
果 你 写 过 一 段 时 间 Python 了 ， 那 么 也 许 对 此 已 经 
有 些 了 解 。 我 会 简单 介绍 一 下 ， 同 时 给 你 一 些 


URL 链 接 ， 从 中 你 可 以 找到 关于 这 个 话题 的 详细 
= Ao 


Wwe 


让 我 们 提出 一 个 PEP | 


PEP 全 称 是 “Python Enhancement 
Proposal”(Python 增 强 提 二) 。 你 可 以 

在 python.org 上 找到 它们 以 及 对 应 的 索引 目录 。 
PEP 在 索引 目录 中 按照 数字 编号 排列 ， 包 括 了 元 
PEP (meta-PEP ， 讨 论 关 于 PEP 的 细节 ) 。 与 之 
对 应 的 是 技术 PEP (technical PEP) ， 思 考 的 是 
诸如 Python 内 部 实现 的 改良 这 样 的 话题 。 


有 一 些 PEP > PEP 8 和 PEP 257 ， 有 影响 了 
Python 代码 风格 的 标准 。 PEP 8 包括 了 Python 代 
码 风 格 的 规约 。 而 PEP 257 包 括 了 文档 字符 事 

(docstrings， 在 Python 中 给 代码 加 文档 的 标准 
方式 ) 的 规约 。 


PEP 8: Python 代码 风格 规约 


PEP 8 是 对 Python 代码 风格 的 官方 规约 。 我 建议 
你 阅读 它 并 将 之 付 诸 在 Flask 项 目 (以 及 其 他 
Python 项 目 ) 的 开发 实践 中 。 当 项 目 规模 膨胀 到 
多 个 包含 成 百 上 千 行 代码 的 文件 时 ， 这 样 做 会 使 
你 的 代码 更 加 工整 、 了 然 。 毕 竞 PEP 8 的 建议 都 是 
围绕 着 实现 更 加 可 读 的 代码 这 个 目标 。 另外 ， 如 
果 你 的 项 目 准备 开源 ， 潜 在 的 奉献 者 
(contributors) 会 很 高 兴 看 到 你 的 代码 是 遵循 
PEP 8 的 。 


一 个 至 关 重 要 的 建议 是 每 级 缩 进 使 用 4 个 空格 。 
要 使 用 tab。 如 果 你 打破 了 这 个 规约 ， aces 
sig ee ons Pace a sss a 

这 种 不 一 致 一 向 是 任意 语言 心中 的 痛 ， 但 是 对 于 
Python， 一 门 着 重 留 白 的 语言 ， 这 是 一 个 不 可 承 
受 之 重 。 因为 tab 与 space 之 间 的 混搭 会 导致 不 可 
预期 且 难 以 排查 的 错误 。 


PEP 257: 文档 字符 串 规约 


PEP 257 # & J Python#) 4 — "R 47 
#2:docstrings ° 你 可 以 阅读 PEP 中 的 定义 和 相关 
建议 ， 不 过 这 里 会 给 一 个 例子 来 展示 一 个 文档 字 
符 串 应 该 是 怎样 的 : 


def launch rocket(): 
"0"" 主 要 的 火箭 发 射 调度 器 


启动 发 射 火箭 所 需 的 每 一 个 步骤 。 


# [...] 


这 种 风格 的 文档 字符 串 可 以 通过 一 些 诸如 Sphinx 
的 软件 来 生成 不 同 格式 的 文档 。 同时 它们 也 有 助 
于 让 你 的 代码 更 加 工整 。 


yp 


参见 


e PEP 8 
http://legacy.python.org/dev/peps/pep- 
0008/ 

e PEP 257 
http://legacy.python.org/dev/peps/pep- 
0257/ 

e Sphinx http://sphinx-doc.org/， 一 个 文档 生 
成 器 ， 同 出 于 Flask 作 者 之 手 


相对 形式 的 import 


开发 Flask 应 用 时 ， 使 用 相对 形式 的 import 会 让 你 
的 生活 更 加 轻松 。 原因 很 简单 。 之 前 ， 当 需要 
import 一 个 内 部 模块 时 ， 你 也 许 要 显 式 指明 应 用 的 
包 名 (the app's package name) 。 假 设 你 想 要 
从 myapp/models.py 中 导入 user 模型 : 


H 使 用 绝对 路 径 来 导入 User 
from myapp.models import User 


用 了 相对 形式 的 import 后 ， 你 可 以 使 用 点 标记 法 : 
第 一 个 . 来 表示 当前 目录 ， 之 后 的 每 一 个 . 表示 
下 一 个 父 目 录 。 


IE TA L CD JZ saa SF 
EE Ap Ei +i Sea ere AS S| 2 i À | CAY 

Į 不 F| AT 由 入 A 个 or SS A CQ} 

iA / J [i | J EFATE AN J Já | | 


from .models import User 


AK AP IK hga TAR Ft package & 44 £ Imik FR 1 
了 。 现在 你 可 以 重 命名 你 的 package 并 在 别 的 项 

APSARA MRR RL LHR BY Le 

A 


Flask 之 旅 
参见 


。 你 可 以 在 PEP 328 的 这 一 节 里 读 到 更 多 关 
于 相对 形式 的 import 的 语法 

。 在 写作 本 书 的 过 程 中 ， 我 碰巧 在 这 个 Tweet 
上 面 看 到 了 一 个 使 用 相对 形式 的 import 的 
IAE 
https://twitter.com/dabeaz/status/3720594 
07711887360 Just had to rename our 
whole package. Took 1 second. Package 


relative imports FTW! 


D ti 


A 


/ 


。 尺 和 量 遵循 PEP 8 中 的 代码 风格 规约 。 

。 尺 量 遵循 PEP 257 中 的 文档 字符 串 规 约 。 

。 使 用 相对 形式 的 import 来 import 你 的 应 用 中 的 
内 部 模块 。 


代码 约定 18 





环境 


为 了 正确 地 跑 起 来 ， 你 的 应 用 需要 依赖 许多 不 同 
的 软件 。 就 算是 再 怎么 否认 这 一 点 的 人 人， 也 无 法 
否认 至 少 需要 依赖 Flask 本 身 。 你 的 应 用 的 运行 环 


境 ， 在 当 你 想 要 让 它 跑 起 来 时 ， 是 至 关 重 要 的 。 
幸运 的 是 ， 我 们 有 许多 工具 可 以 减低 管理 环境 的 
复杂 度 。 


使 用 virtualenv 来 管理 环境 


virtualenv 是 一 个 能 把 你 的 应 用 隔离 在 一 个 虚拟 环 
境 中 的 工具 。 一 个 虚拟 环境 是 一 个 包含 了 你 的 应 
用 依赖 的 软件 的 文件 夹 。 一 个 虚拟 环境 同时 也 封 
存 了 你 在 开发 时 的 环境 变量 。 与 其 把 依赖 包 ， 比 
如 Flask， 下 载 到 你 的 系统 包 管 理 文件 夹 ， 或 用 户 
包 管 理 文件 夹 ， 我 们 可 以 把 它 下 载 到 对 应 当前 应 
用 的 一 个 隔离 的 文件 夹 之 下 。 这 使 得 你 可 以 指定 
一 个 特定 的 Python 二 进 制 版 本 ， 取 决 于 当前 开发 
的 项 目 。 


virtualenv 也 可 以 让 你 给 不 同 的 项 目 指定 同样 的 依 
赖 包 的 不 同 版 本 。 当 你 在 一 个 老 昌 的 包含 众多 不 
同 项 目的 平台 上 开发 时 ， 这 种 灵活 性 十 分 重要 。 


用 了 virtualenv， 你 将 只 会 把 少数 几 个 Python 模块 
装 到 系统 的 全 局 空间 中 。 其 中 一 个 会 是 
virtualenv 本 身 : 


$ pip install virtualenv 


安装 完 virtualenv， 就 可 以 开始 创建 虚拟 环境 。 切 
换 到 你 的 项 目 文件 来， 运行 virtualenv 命令 。 这 
个 命令 接受 一 个 参数 ， 作 为 诬 拟 环境 的 名 字 ( 同 
样 也 是 它 的 位 置 ， 在 当前 文件 来 1s 下 你 就 知道 
Ia 


$ virtualenv venv 
New python executable in venv/bin/python 
Installing setuptools, pip...done. 


这 将 创建 一 个 包含 所 有 依赖 的 文件 夹 。 


一 旦 新 的 virtual environment] #4 gz RE 
要 给 对 应 的 virtual environment 下 
的 bin/activate 脚本 执行 source ， 来 激活 它 。 


$ source venv/bin/activate 


你 可 以 通过 运行 which python 看 到 : “python” sl 
在 指向 的 是 virtual environment 中 的 二 进 制 版 本 。 


$ which python 


/usr/local/bin/python 
$ source venv/bin/activate 


(venv)$ which python 
/Users/robert/Code/myapp/venv/bin/python 


4 — virtual environment 被 激活 了 ， 依 赖 包 会 被 
pip 安 装 到 virtual environment 中 而 不 是 全 局 系统 环 
JŠ o 

你 也 许 注 意 到 了 ， 你 的 shell 提 示 符 发 生 了 改变 。 
virtualenv 在 它 前 面 添 加 了 当前 被 激活 的 Virtual 
environment， 所 以 你 能 意识 到 你 并 不 存在 于 全 局 
系统 环境 中 。 

运行 deactivate 命令 ， 你 就 能 离开 你 的 virtual 


environment ° 


(venv)$ deactivate 


42 A| virtualenvwrapper @ #2 
你 的 Virtual environment 


我 想 要 让 你 了 a ae 的 
工作 做 了 什么 改进 ， 这 样 你 就 知道 为 什么 你 应 该 
使 用 它 。 


虚拟 环境 文件 夹 现在 已 经 位 于 你 的 项 目 文件 夹 之 

Fo 但 是 你 仅仅 是 在 激活 了 虚拟 环境 后 才 会 跟 它 
交互 。 它 甚至 不 应 该 被 放 入 版 本 控制 中 。 所 以 它 

采 在 项 目 文件 夹 中 也 是 捍 碍 眼 的 。 解决 这 个 问题 
的 一 个 方法 就 是 使 用 virtualenvwrapper。 这 个 包 

把 你 所 有 的 Virtual environment 整 理 到 单独 的 文件 
ETF > WWE ~/.virtualenvs/ ° 


要 安装 virtualenvwrapper， 遵 循 这 个 文档 中 的 步 


R © 


注意 确保 你 在 安装 ae oo nee 
何 一 个 virtual environment? ° w HBC LR 
在 全 局 空间 ， aad tied on 
environment 


现在 ， 你 不 再 需要 运行 virtualenv 来 创建 一 个 环 


境 R pits mkvirtualenv 


$ mkvirtualenv rocket 
New python executable in rocket/bin/python 
Installing setuptools, pip...done. 


在 你 的 virtual environment 目录 之 下 ， 比 如 

在 ~/.virtualenv 之 下 ， mkvirtualenv 创建 了 一 
个 文件 夹 ， 并 替 你 激活 了 它 。 就 像 普 通 

的 virtualenv ， python 和 pip 现在 指向 的 是 
virtual MORNIN eee 系统 。 为 了 激活 想 
要 的 环境 ， 运 行 这 个 命 


& : workon [environment name] ， 


而 deactivate 依然 会 关闭 环境 。 


记录 依赖 变 


随 着 项 目 增长 ， 你 会 发 现 它 的 依赖 列表 也 一 并 随 
着 增长 。 在 你 能 运行 一 个 Flask 应 用 之 前 ， 即 使 已 
经 需要 数 以 十 记 的 依赖 包 也 毫 不 奇怪 。 管理 依赖 
的 最 简单 的 方法 就 是 使 用 一 个 简单 的 文本 文件 。 
列 出 所 有 已 经 安装 的 

包 。 它 也 可 以 解析 这 个 文件 ， 并 在 新 的 系统 〈 或 
者 新 的 环境 ) 下 安装 每 一 个 包 


pip freeze 


requirements.txt 是 一 个 常常 被 许多 Flask 应 用 用 
于 列 出 它 所 依赖 的 包 的 文本 文件 。 它 是 通 
过 pip freeze > requirements.txt 生成 的 。 使 


AG n> 


用 pip install -r requirements.txt ?’ 你 就 能 安 


装 所 有 的 包 


注意 在 freeze 或 install 依 赖 包 时 ， 确 保 你 正 为 于 
正确 的 virtual environment 之 中 。 


手动 记录 依赖 变动 


随 着 项 目 增 长 ， 你 可 能 会 发 现 pip freeze 中 列 出 
的 每 一 个 包 并 不 再 是 运行 应 用 所 必须 的 了 。 也 许 
有 些 包 只 是 在 开发 时 用 得 上 。 pip freeze 没有 判 
断 力 ; 它 只 是 列 出 了 当前 安装 的 所 有 的 包 。 所 以 
你 只 能 手动 记录 依赖 的 变动 了 。 你 可 以 把 运行 应 
用 所 需 的 包 和 开发 应 用 所 需 的 包 分 别 放 入 对 应 的 
require run.txt 和 require dev.txt° 


版 本 控制 


选择 一 个 版 本 控制 系统 并 使 用 它 。 我 推荐 Git。 如 
我 所 知 ，Git 是 当下 最 大 众 的 版 本 控制 系统 。 AM 
除 代码 的 时 候 无 需 担忧 潜在 的 巨大 灾难 是 无 价 
的 。 你 现在 可 以 对 过 去 那 种 把 不 要 的 代码 注释 掉 
的 行为 说 拜拜 了 ， 因 为 你 可 以 直接 删 掉 它们 ， 即 
使 将 来 突然 需要 ， 也 可 以 通过 git revert KK 
复 。 另外 ， 你 将 会 有 整个 项 目的 备份 ， 存 在 
Github,Bitbucket 或 你 自己 的 Git server ° 


什么 不 应 令 在 版 本 控制 里 


我 通常 不 把 一 个 文件 放 在 版 本 控制 里 ， 如 果 它 满 
尽 以 下 两 个 原因 中 的 一 个 。 


1.， 它 征 不 必要 的 
2. 它 是 不 公开 的 。 


编译 的 产物 ， 比 如 .pyc ， 和 virtual 
environment 〈 如 果 你 因为 某 些 原因 没有 使 用 
virtualenvwrapper) 正 是 前 者 的 例子 。 它们 不 需 
要 加 入 到 版 本 控制 中 ， 因 为 它们 可 以 通 

过 .py 或 requirements.txt 生成 出 来 。 


接口 密 钥 (调用 接口 时 必须 传 入 的 参数 ) ， 应 用 
密 钥 ， 以 及 数据 库 证 书 则 是 后 者 的 例子 。 它们 不 
应 该 在 版 本 控制 中 ， 因 为 一 旦 泄密 ， 将 造成 严重 
的 安全 隐患 。 


注意 在 做 安全 相关 的 决定 时 ， 我 会 假设 稳定 版 
本 库 将 会 在 一 定 程度 上 被 公开 。 这 意味 着 要 清 
除 所 有 的 隐私 ， 并 且 永 不 假设 一 个 安全 漏洞 不 
会 被 发 现 ， 因 为 “ 谁 能 想到 他 们 会 干 出 什么 事 
te 2” 


在 使 用 Git 时 ， 你 可 以 在 版 本 库 中 创建 一 个 特别 的 
文件 名 为 .gjtignore。 在 里 面 ， 能 使 用 正则 表达 式 
来 列 出 对 应 的 文件 。 任 何 匹 配 的 文件 将 被 Git 所 忽 
Bo 我 建议 你 至 少 在 其 中 加 

A *,pyc 和 /instance °。instance 文 件 夹 中 存放 
着 跟 你 的 应 用 相关 的 不 便 公开 的 配置 。 


.gitignore: 


pyc 
instance/ 


> 


参见 


。 在 这 里 你 可 以 了 解 什么 是 .gjtignore : 
http://git-scm.com/docs/gitignore 

。Flask 文 档 中 对 instance 目 录 的 一 段 介 绍 : 
http://flask.pocoo.org/docs/config/#instanc 


e-folders 
调试 


调试 模式 


Flask 之 旅 

Flask 有 一 个 便利 的 特性 叫做 “debug mode”。 在 你 
的 应 用 配置 中 设置 debug = True 就 能 后 动 它 。 当 
它 被 局 动 后 ， 服 务 器 会 在 代码 变动 之 后 重新 加 
载 ， 并 且 一 旦 发 生 错 误 ， 错 误会 打印 成 一 个 带 交 
互 式 命令 行 的 调用 栈 。 


注意 不 要 在 生产 环境 中 开 尼 debug mode。 交 

互 式 命 令 行 运行 任意 的 代码 输入 ， 如 果 是 在 运 
行 中 的 网 站 上 ， 这 将 导致 安全 上 的 灾难 性 后 
果 。 


AN 


e 阅读 一 下 quickstart 页 面 的 debug mode 部 
T: 
http://docs.jinkan.org/docs/flask/quickstart 
aaa 

这 里 有 一 些 关于 错误 处 理 ， 日 志 记 录 和 使 
用 其 他 调试 工具 的 信息 : 
http://docs.jinkan.org/docs/flask/errorhand 
ling.html 
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Flask-Debug Toolbar 


Flask-DebugToolbar 征用 来 调试 你 的 应 用 的 另 一 
个 得 力 工具 。 在 debug mode 中 ， 它 在 你 的 应 用 中 
添加 了 一 个 侧 边 条 。 这 个 侧 边 条 会 给 你 提供 有 关 
SQL 查询 ， 上 日志， 版本， 模板 ， 配 置 和 其 他 有 趣 

的 信息 。 


CM 


i 2 

。 使 用 virtualenv 来 打包 你 的 应 用 的 依赖 包 。 

。 使 用 virtualenvwrapper 来 打包 你 的 virtual 
environment ° 

。 使 用 一 个 或 多 个 文本 文件 来 记录 依赖 变化 。 

。 使 用 一 个 版 本 控制 系统 。 我 推荐 Git。 

。 使用.gitignore 来 排除 不 必要 的 或 不 能 公开 的 
东西 混 进 版 本 控制 。 

e debug mode 会 在 开发 时 给 你 有 关 bug 的 信 
息 。 

。Flaks-DebugToolbar 拓 展 将 给 你 有 关 bug 更 多 
的 信息 。 


Flask 之 旅 


环境 


31 





(0) ©) 
ee euo aN $ WE $ WE ED 


组 织 你 的 项 目 


Flask 会 把 项 目 组 织 的 职责 托付 给 你 。 这 是 我 喜欢 
使 用 Flask 开 始 项 目的 其 中 一 个 理由 ， 但 是 这 意味 
着 你 不 得 不 思考 怎么 组 织 你 的 代码 。 你 可 以 把 这 


个 应 用 放 到 一 个 文件 中 ， 或 者 把 它 分 割 多 个 包 。 
然而 这 两 种 结构 并 不 适合 大 多 数 项 目 。 这 里 有 一 
些 固 定 的 组 织 模式 ， 你 可 以 遵循 它们 以 便于 开发 
Fa J be o 


约定 
在 这 一 段 中 我 想 要 先 约定 一 些 概念 。 


版 本 库 (Repository) : 你 的 应 用 的 根 目录 。 这 
个 概念 来 自 于 版 本 控制 系统 ， 但 在 这 里 有 了 所 拓 
展 。 当 我 在 这 一 章 提 到 “版 本 库 ”" 时 ， 指 的 是 你 的 
项 目的 根 目 录 。 在 开发 你 的 应 用 时 ， 你 不 太 可 能 
& BHI AR 


所 (Package) : 包含 了 你 的 应 用 代码 的 一 个 
所 “在 这 一 齐 ， 我 将 深入 探讨 以 包 的 形式 建立 你 
的 应 用 ， 但 是 现在 只 需 知 道 包 是 版 本 库 的 一 个 子 
目录 。 


模块 (Module) : 一 个 模块 是 一 个 简单 的 ， 可 以 
被 其 它 Python 文件 引入 的 Python 文件 。 一 个 包 由 
多 个 模块 组 成 。 


参见 


。 在 这 里 可 以 读 到 更 多 的 关于 Python 模块 的 
AR: 
http://docs.python.org/2/tutorial/modules.h 
tml 

。 这 个 链接 中 也 有 一 节 关 于 包 的 内 容 : 
http://docs.python.org/2/tutorial/modules.h 
tml#packages 


组 织 模 式 


单一 模块 


在 许多 Flask 例 子 里 ， 你 会 看 到 它们 把 所 有 的 代码 
放 到 一 个 单一 文件 中 ， 通 第 是 app.Dy。 对 于 一 些 
微 (BRHF) 项 目 来 说 这 恰到好处 ， 毕 竟 你 只 


需要 处 理 几 个 路 由 (route) FARA ARITA 
码 。 (示例 用 的 应 用 就 是 这 样 ) 


单一 模块 的 应 用 的 版 本 库 看 起 来 像 这 样 : 


app .py 

config.py 
requirements.txt 
static/ 
templates/ 


在 这 个 例子 中 ， 应 用 逻辑 部 分 会 存放 在 app.py 


J 


当 你 开始 在 一 个 变 得 更 加 复杂 的 项 目 上 工作 时 ， 
单一 模块 就 会 造成 严重 的 问题 。 你 需要 为 模型 
(model) 和 表单 (form) 定义 多 个 类 ， 而 它们 会 
跟 你 的 路 由 和 配置 代码 又 吵 又 闲 。 所 有 的 一 切 让 
你 焦头烂额 。 为 了 解决 这 个 问题 ， 我 们 得 把 应 用 
中 不 同 的 组 件 分 开 到 单独 的 、 高 内 肥 的 一 组 模块 - 
也 即 是 包 - 之 中 。 


基于 包 的 应 用 的 版 本 库 看 起 来 就 像 是 这 样 : 


config.py 
requirements.txt 


run.py 
instance/ 


/config.py 
yourapp/ 

/__ init__.py 
/views .py 
/models.py 
/forms .py 
/static/ 
/templates/ 


这 个 结构 允许 你 理智 地 整理 你 的 应 用 的 不 同 组 
件 。 有 关 模 型 的 类 定义 全 待 在 models.py， 而 路 由 
定义 在 Views.py， 有 关 表 单 的 类 定义 全 待 

在 forms.py (我 们 等 会 会 用 整整 一 章 的 篇 幅 谈 谈 表 
二 

下 面 的 表格 列举 了 大 多 数 Flask 应 用 都 有 的 基本 组 
件 。 对 于 你 的 应 用 ， 可 能 还 需要 别 的 一 些 文件 ， 
但 这 些 适 用 于 大 乡 数 Flask 应 用 。 


组 件 作用 
这 个 文件 中 用 于 启动 一 个 
开发 服务 器 。 它 从 你 的 包 
获得 应 用 的 副本 并 运行 


run.py 


requirements.txt 


config.py 


instance/config.py 


它 。 这 不 会 在 生产 环境 中 
用 到 ， 不 过 依然 在 许多 
Flask 开 发 的 过 程 中 看 

Zl] o 

这 个 文件 列 出 了 你 的 应 用 
依赖 的 所 有 Python 包 。 你 
可 能 需要 把 它 分 成 生产 依 
赖 和 开发 依赖 。[ 请 看 第 
=] 

这 个 文件 包含 了 你 的 应 用 
需要 的 大 多 数 配 置 变量 
这 个 文件 包含 不 应 该 出 现 
在 版 本 控制 的 配置 变量 。 
其 中 有 类 似 调 用 密 钥 和 数 
据 库 URI 连 接客 码 。 同 样 
也 包括 了 你 的 应 用 中 特有 
的 不 能 放 到 阳光 下 的 东 
西 。 上 比如， 你 可 能 

在 config.py 中 设 

定 DEBUG = False ， 但 在 
你 自己 的 开发 机 上 的 
instance/config.py 设 

置 DEBUG = True ° AA 
这 个 文件 可 以 在 config.py 
ZERRA” CRBS 
4% DEBUG = False ， 并 设 
置 DEBUG = True ° 


yourapp/ 


yourapp/ init__.py 


yourapp/views.py 


yourapp/models.py 


yourapp/static/ 


yourapp/templates/ 


Blueprints 


这 个 包 里 包括 了 你 的 应 
用 o 


这 个 文件 初始 化 了 你 的 应 
用 并 把 所 有 其 它 的 组 件 组 
人 HE. 7% © 

这 里 定义 了 路 由 。 它 也 许 
需要 作为 一 个 包 
(yourapp/views/) ， 由 
一 些 包 含 了 紧密 相 联 的 路 
由 的 模块 组 成 。 


在 这 See 
型 。 你 可 能 需要 像 对 待 
Views.py 一 样 把 它 分 割 成 
许多 模块 。 


这 个 文件 包括 了 公共 
CSS > Javascript, 
images 和 其 他 你 想 通 过 你 
的 应 用 展示 出 去 的 静态 文 
件 。 上 默认 情况 下 人 们 可 以 
从 yourapp. com/static/ 获 
取 这 文 此 文件 。 


这 里 放置 着 你 的 应 用 的 
Jinja2 模 板 。 


有 朝 一 日 你 可 能 会 发 觉 应 用 里 有 许多 相关 的 路 由 
了 。 如 果 是 我 ， 我 会 首先 把 views.py 分 割 成 一 个 包 
并 把 相关 的 路 由 组 织 成 模块 。 要 是 你 已 经 这 么 做 
了 ， 是 时 候 把 你 的 应 用 分 解 成 蓝图 (blueprints ) 
了 


蓝图 是 按照 一 定 程度 上 的 自 组 织 的 方式 ， 作 为 你 
的 应 用 的 一 部 分 的 组 件 。 它们 表现 得 就 像 你 的 应 
用 下 的 子 应 用 一 样 。 你 可 能 使 用 不 同 的 蓝图 来 对 
应 管理 面板 (admin panel) > #y3% (front-end) 
和 用 户 面板 (User dashboard) 。 这 使 得 你 按照 
组 件 组 织 视图 ， 静 态 文件 和 模板 ， 并 在 组 件 间 共 
至 模型 ， 表 单 和 你 的 应 用 的 其 他 部 分 。 


你 可 以 在 第 7 章 阅读 到 关于 蓝图 的 更 多 内 容 。 


CR 


总 结 

o 对 于 微 应 用 ， 建 议 使 用 单一 模块 结构 。 

。 对 于 包含 了 视图 ， 模 型 ， 表 单 以 及 更 多 的 项 
目 ， 使 用 包 结 构 。 


o 蓝图 是 把 项 目 按照 一 些 不 同 的 组 件 组 织 起 来 
的 好 办 法 。 
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当 你 开始 学 习 Flask 时 ， 配 置 看 上 去 是 小 菜 一 碟 。 
你 仅仅 需要 在 comjig.py 定 义 几 个 变量 ， 然 后 万 事 
大 吉 。 然而 当 你 不 得 不 管理 一 个 生产 上 的 应 用 的 


置 时 ， 变 得 环 手 万 分 。 你 不 得 不 设法 
Eea e AARDT ERD TA, 
开发 环境 和 生产 环境 ) 使 用 不 同 的 配置 。 在 本 章 
我 们 将 探讨 Flask 的 一 些 高 级 特性 ， 它 们 能 让 配置 
管理 更 为 轻松 。 


从 小 处 起 步 


一 个 简单 的 应 用 不 需要 任何 复杂 的 配置 。 你 仅仅 
需要 在 你 的 根 目 录 下 放置 一 个 config.py 文 件 ， 并 
在 app.py 或 yourapp/ init__.py F mR € ° 


config.py 的 每 一 行 中 应 该 是 某 一 个 变量 的 赋值 语 
a] ° omg py 在 稍 后 被 加 载 ， 这 个 配置 变量 
可 以 通过 app.config 字典 来 获取 ， 比 

如 app.config["DEBUG"] ° 以 下 是 一 个 小 项 目的 
config.py 文 件 的 范例 : 


DEBUG = True # 启动 Flask 的 Debugi® ay 
MAIL_FROM_EMAIL = = "robert@example. com" # 1% ew 








«| = 





有 一 些 配置 变量 是 内 建 的 ， 比 如 pegue 。 还 有 些 
配置 变量 是 关于 Flask 拓 展 的 ， 比 

如 BCPYRT_LEVEL 就 是 用 于 Flask-Bcrypt 拓 展 (一 
个 用 于 hash 映 射 窒 码 的 拓展 ) 。 你 甚至 可 以 定义 
在 这 个 应 用 中 用 到 的 自己 的 配置 变量 。 在 这 个 例 
子 中 ， 我 使 用 app.config["MAIL_FROM_EMAIL"] 来 
表示 邮件 往来 时 (比如 重 置 密码 ) 默认 的 发 送 
方 。 这 使 得 在 将 来 要 修改 的 时 候 不 会 带 来 太 多 麻 
烦 。 


为 了 加 载 这 些 配置 变量 ， 我 通常 使 

用 app.config.from_object() ° 如 果 是 单一 模块 
应 用 中 ， 是 在 gpp.py ; 或 者 

在 yourapp/ _init .py， 如 果 是 基于 包 的 应 用 。 
无 论 在 哪 种 情况 下 ， 代 码 看 上 去 像 这 样 : 


from flask import Flask 


app = Flask(__name__) 
app.config.from_object('config' ) 
# 现在 通过 app,config["VAR_NAME"]， 我 们 可 以 访问 到 对 





E) 


DEBUG 


SECRET KEY 


在 调试 错误 
的 时 候 给 你 
一 些 有 用 的 
工具 。 比 如 
当 一 个 请 求 
导致 异常 的 
发 生 时 ， 会 
rh 3H, By — 4S 
Web 腊 面 的 
调用 堆栈 和 
Python 命 令 
行 。 
Flask 使 用 这 
AS BB 4A KIT 
cookies 和 别 
的 东西 进行 
BZ o UE 
Yt instance 
文件 夹 中 设 
定 这 个 值 ， 
并 不 要 把 它 
放 入 版 本 控 
制 中 。 你 可 
Ee |S aa 


默认 值 


在 开发 环境 
下 应 该 设置 
成 True， 在 
生产 环境 下 
应 设置 为 
False ° 


这 应 该 是 一 
个 复杂 的 任 


an 4 
> TEL © 


BCRYPT_ LEVEL 


读 到 关于 
instance 文 件 
夹 的 更 多 信 
A. © 
如 果 使 用 
Flask-Bcrypt 
来 hash 了 映射 
用 户 先 码 
(如 果 没 
有 ， 现 在 就 
ALE) ， 你 
需要 为 hash 
均码 的 算法 
指 
定 “rounds” 的 
值 。 设 置 的 
rounds 值 越 
ee 
次 hash 花 费 
的 时 间 就 越 
长 (同样 的 
效果 作用 于 
破解 方 ， 这 
NA EE 
的 ) 。 
rounds 的 值 
应 该 随 着 你 
的 设备 的 计 


如 果 使 用 
Flask-Bcrypt 
来 hash 映 射 
Al P A 
(如 果 没 
有 ， 现 在 就 
ALE) ， 你 
需要 为 hash 
BE AD 8 FL IK 
48 
Æ “rounds” #9 
值 。 设 置 的 
rounds 值 越 
高 ， 计 算 一 
次 hash 花 费 
的 时 间 就 越 
长 (同样 的 
效果 作用 于 
破解 方 ， 这 
SA EE 
的 ) 。 
rounds 的 值 
应 该 随 着 你 
的 设备 的 计 


算 能 力 的 提 算 能 力 的 提 
升 而 增加 ” 升 而 增加 
确保 生产 环境 下 已 经 设置 了 DEBUG = False 。 如 
忘记 关 掉 ， 用 户 会 很 乐意 对 你 的 服务 器 执行 任 
意 的 Python 代码 。 


instance X 1} & 


E 


有 时 你 需要 定义 一 些 不 能 为 人 所 知 的 配置 变量 。 
为 此 ， 你 会 想 要 把 它们 从 config.py 中 的 其 他 变量 
分 离 出 来 ， 并 保持 在 版 本 控制 之 外 。 你 可 能 要 隐 
I RAAB VE He. BAY Ho APIR GA AVAL > RELE 
于 当前 机 器 的 参数 。 为 了 让 这 更 加 轻松 ，Flask 提 
KET —*+ instance < #F K 04 44 HE o instance X4 
夹 是 根 目 录 的 一 个 子 文件 夹 ， 包 括 了 一 个 特定 于 
当前 应 用 实例 的 配置 文件 。 我 们 不 要 把 它 提 交 到 
版 本 控制 中 。 


这 是 一 个 使 用 了 instance 文 件 夹 的 简单 Flask 应 用 
的 结构 : 


config.py 
requirements.txt 
run.py 
instance/ 
config.py 
yourapp/ 
__ init__.py 
models.py 
views. py 
templates/ 
static/ 


使 用 instance 文 件 夹 


要 想 加 载 定 义 在 instance 文 件 夹 中 的 配置 变量 ， 你 
可 以 使 用 app.config.from pyfile() ° 如 果 在 调 
用 Flask() 创建 应 用 时 设置 

了 instance_relative_config=True ’ app.config.: 


将 查看 在 instance 文 件 夹 的 特殊 文件 。 


app = Flask(__name__, instance_relative_confit 
app.config.from_object('config' ) 
app.config.from_pyfile( 'config.py' ) 


a 





现在 ， 你 可 以 在 instance/config.py 中 定义 变量 ， 
一 如 在 config.py 。 你 也 应 该 将 instance 文 件 夹 加 
入 到 版 本 控制 系统 的 忽略 名 单 中 。 上 比如 假设 你 用 
的 是 git， 你 需要 在 gitignore 中 新 开 一 行 ， 写 


下 instance/ ° 


wR 4A 


eg 


instance 文 件 夹 的 隐秘 属性 使 得 它 成 为 藏匿 密 钥 的 
好 地 方 。 你 可 以 在 放 入 应 用 的 密 钥 或 第 三 方 的 
API 密 钥 。 假 如 你 的 应 用 是 开源 的 ， 或 者 将 会 是 开 
源 的 ， 这 会 很 重要 。 我 们 希望 其 他 人 去 使 用 他 们 
Bl Go PTA 8 BF 4A o 


# instance/config.py 


SECRET_KEY = 'Sm90biBTY2hyb20ga21ja3MgYXNz' 
STRIPE_API_KEY = 'SmFjb2IgS2FwoGFuLU1vc3Mgaxm 
SQLALCHEMY_DATABASE_URI= \ 
"postgresql: //user : W1jaGHFgiBCYXJOb3N6a211d2. 





取 小 化 依赖 于 环境 的 配置 


如 果 你 的 生产 环境 和 开发 环境 之 间 的 差别 非 第 

小 ， 你 可 以 使 用 你 的 instance 文 件 夹 抹 平 配置 上 的 
差别 。 在 instance/config.py 中 定义 的 变量 可 以 枚 
瘟 在 config.py 中 设 定 的 值 。 你 只 需要 

在 app.config.from_object() 之 后 才 调 

用 app.config.from_pyfile() ° 这 样 做 的 其 中 一 
个 优点 是 你 可 以 在 不 同 的 机 器 中 修改 你 的 应 用 的 
配置 。 你 的 开发 版 本 库 可 能 看 上 去 像 这 样 : 


config.py 


DEBUG = False 
SQLALCHEMY_ECHO = False 


instance/config.py 


DEBUG = True 
SQLALCHEMY_ECHO = True 


然后 在 生产 环境 中 ， 你 将 这 些 代码 从 
instance/config.py 中 移 除 ， 它 就 会 改 用 回 
config.py 中 设 定 的 变量 。 


yp 


参见 


o 在 这 里 可 以 读 到 关于 Flask-SQLAIchemy 的 
Ke a % 4A: http://pythonhosted.org/Flask- 
SQLAIchemy/config.html#configuration- 
keys 


依照 环境 变量 来 配置 


instance 文 件 夹 不 应 该 在 版 本 控制 中 。 ey 
将 不 能 追踪 你 的 instance 配 置 。 在 只 有 一 两 个 变 
量 的 情况 下 这 不 是 什么 问题 ， e 
个 环境 (生产 ， 稳 定 ， 开 发 ， 等 等 ) 的 一 大 堆 配 
置 ， 你 不 会 愿意 冒失 去 它们 的 风险 。 


Flask 给 我 们 提供 了 根据 环境 变量 选择 一 个 配置 文 
件 的 能 力 。 这 意味 着 我 们 可 以 在 我 们 的 版 本 库 中 
有 多 个 配置 文件 ， 并 总 是 能 根据 具体 环境 ， 加 载 
到 对 的 那个 。 


当 我 们 到 了 有 多 个 配置 文件 共存 的 境况 ， 是 时 候 
把 文件 都 移动 到 config 包 之 下 。 下面 是 在 这 样 
的 一 个 版 本 库 中 大 致 的 样子 : 


requirements.txt 


run. py 
config/ 
_init__.py # 空 的 ， 只 是 用 来 告诉 Python 它 是 一 个 包 
default.py 


production.py 
development. py 
staging.py 
instance/ 
config.py 
yourapp/ 
__init__.py 
models.py 
views. py 
static/ 
templates/ 





在 我 们 有 一 些 不 同 的 配置 文件 的 情况 下 ， 可 以 这 
样 设 置 : 


文件 名 内 容 

默认 值 ， 适 用 于 所 有 的 天 
或 交 由 具体 环境 进行 窗 3 
举 个 例子 ， 

config/default.py 在 config/default.py 中 设 
i. DEBUG = False ° 
在 config/development.p 
设置 DEBUG = True 。 


在 开发 环境 中 用 到 的 值 : 
config/development.py 里 你 可 以 设 定 在 localhos 
用 到 的 数据 库 URI 链 接 。 
在 生产 环境 中 用 到 的 值 ' 
PART VATE E RHE JE AR G 
config/production.py “URIé#:> MAAR 
境 下 的 本 地 数据 库 URI 链 
接 。 
在 你 的 开发 过 程 中 你 
需要 在 一 个 模拟 生产 环 上 3 
ee 服务 器 上 测试 你 的 应 用 « 
也 许 会 使 用 不 一 样 的 数 志 
库 ， 想 要 为 稳定 版 本 的 
替换 挥 一 些 配 置 。 


要 在 不 同 的 环境 中 指定 所 需 的 变量 ， 你 可 以 调 


用 app.config.from_envvar() : 


jourapp/__init 


app = Flask(__name__, instance_relative_confit 
app.config.from_object( ‘config. Tee z 
app.config.from_pyfile('config.py') 7 instar 
app.config.from_envvar ('APP_CONFIG_ FILE! ) 


af 一 | 








app.config.from_envvar (‘APP_CONFIG_FILE’ ) 将 加 
载 由 环境 变量 APP_CONFIG_FILE 指定 的 文件 。 这 个 
环境 变量 的 值 应 该 是 一 个 配置 文件 的 绝对 路 径 


这 个 环境 变量 的 设 定 方式 取决 于 你 运行 你 的 应 用 
ee o 如 果 你 是 在 一 他 标准 的 Linux 服 务 器 上 和 运 
你 可 以 使 用 一 个 shell 脚 本 来 设置 环境 变量 并 


APP_CONFIG_FILE=/var /www/yourapp/config/produ 
python run.py 





sia 上 tSh 特 定 于 东 个 环境 ， 所 以 它 也 不 能 放 入 版 本 
控制 当中 。 如 果 你 把 应 用 托管 到 Heroku， 你 可 以 
用 Heroku 提 供 的 工具 设置 环境 变量 和 参数。 对 于 其 
他 PAAS 平 台 也 是 同样 的 处 理 。 


x2 
总 结 


。 一 个 简单 的 应 用 也 许 仅 需 一 个 配置 文 
件 :config.py 
instance 文 件 夹 可 以 帮助 我 们 隐藏 不 愿 为 人 所 
知 的 配置 变量 。 
instance 文 件 夹 可 以 用 来 改变 特定 环境 下 的 程 
序 配 置 。 

应 对 复杂 的 ， 基 于 环境 的 配置 ， 我 们 可 以 结 
合 环 境 变 量 和 app.config.from envvar() 来 


使 用 。 





Python 装饰 器 让 我 们 可 以 用 其 他 函数 包装 特定 函 
数 。 当 一 个 函数 被 一 个 装饰 器 "装饰 "时 ， 那 个 
饰 器 会 被 调用 ， 接 着 会 做 额外 的 工作 ， 修 改变 
量 ， 调 用 原来 的 那个 函数 。 我 们 可 以 把 我 们 想 要 
重用 的 代码 作为 装饰 器 来 包装 一 系列 视图 。 


装饰 器 的 语法 看 上 去 像 这 样 : 


@decorator_function 
def decorated(): 
pass 


如 果 你 看 过 Flask 入 门 指南 ， 那 么 对 这 个 语法 应 该 
不 感到 陌生 。 @app.route 正 是 用 于 在 Flask 应 用 
中 给 视图 函数 设 定 路 由 URL 的 装饰 器 。 


让 我 们 看 一 下 在 你 的 Flask 应 用 中 用 得 上 的 一 些 别 


的 装饰 器 。 


认证 


Flask-Login 使 得 用 户 认 证 系统 的 实现 不 再 困难 。 
除了 处 理 用 户 认 证 的 细节 之 外 ， ered 
我 们 使 用 @login_required 这 个 装饰 器 来 验 十 用 户 

对 某 些 资源 的 访问 权限 。 


下 面 征 从 一 个 用 到 Flask-Login 
和 @login required 装饰 器 的 一 个 示范 应 用 中 获取 
的 例子 


from flask import render_template 
from flask_login import login_required, currel 


@app.route('/' ) 
def index(): 
return render_template("index.htm1l" ) 


@app.route('/dashboard' ) 
@login_required 
def account(): 
return render_template("account.html") 


LE 





注意 @app.route 必须 是 也 外 面 的 视图 装饰 


只 有 已 经 验证 的 用 户 能 够 接触 到 /dashboard 路 
由 。 你 可 以 配置 Flask-Login 来 重 定 向 未 验证 用 户 


到 登录 页 面 ， 返 回 HTTP 401 状 态 码 或 别 的 你 乐意 
的 事 。 


参见 通过 官方 文档 可 以 读 到 更 多 关于 Flask- 
Login 的 内 容 


缓存 


意 淫 一 下 ， 假 如 你 的 应 用 突然 有 一 天 在 微 博 / 朋 友 
圈 或 网 上 别 的 地 方 火 了 。 于 是 秒 秒 钟 会 有 成 千 上 
万 的 请 求 涌 向 你 的 应 用 。 你 的 主页 在 每 个 请 求 中 
es 
站 慢 得 像 教务 系统 一 样 。 你 能 做 什么 来 加 速 这 
os 


案 不 止 一 个 ， 不 过 就 本 章 主 由 而 言 ， 标 准 人 答案 
是 实现 缓存 。 特别 的 ， 我 们 将 要 用 到 Flask- 
Cache 拓 展 。 这 个 拓展 给 我 们 提供 一 个 可 以 用 来 
缓存 某 个 响应 一 段 时 间 的 装饰 器 


你 可 以 将 Flask-Cache 配 置 成 跟 你 想 用 的 后 台 缓 存 
一 起 使 用 。 一 个 普遍 的 选择 是 Redis， 一 个 容易 配 
置 和 使 用 的 软件 。 假设 Flask-Cache 已 经 配置 好 
了 ， 下 面 是 我 们 的 被 装饰 的 视图 的 例子 


from flask_cache import Cache 
from flask import Flask 


app = Flask() 


# 通过 这 个 方式 获取 相关 配置 
cache = Cache(app) 


@app.route('/' ) 
@cache.cached(timeout=60 ) 
def index(): 
[...] # 进行 一 些 数据 库 调 用 来 获取 所 需 信 息 
return render_template( 
"index.html', 
latest_posts=latest_posts, 
recent_users=recent_users, 
recent_photos=recent_photos 


现在 这 个 函数 将 会 在 每 60 稍 最 儿 运 行 一 次 。 响 应 
的 结果 会 被 保存 在 缓存 中 ， 并 可 以 让 期 间 的 每 一 
个 请 求 获取 。 


注意 Flask-Cache 同 时 允许 我 们 记 住 函数 -或 
ye GMA CY KARA BR eo MBE 
可 以 缓存 过 于 复杂 的 Jinja2 模 板 片 段 ! 


自 定 义 装 饰 器 


在 这 个 例子 中 ， 让 我 们 假设 我 们 有 一 个 应 用 ， 每 
个 月 要 求 用 户 定期 付费 。 如 果 一 个 用 户 的 账户 已 
经 过 期 ， 我 们 要 重 定 向 他 们 到 账单 页 面 ， 并 告知 
其 悲伤 的 现实 。 


myapp/util. py 


from functools import wraps 
from datetime import datetime 


from flask import flash, redirect, url_for 
from flask_login import current_user 


def check_expired(func): 
@wraps(func) 
def decorated_function(*args, **kwargs): 
if datetime.utcnow() > current_user.a 
flash("Your account has expired. | 
return redirect(url_for('account_| 
return func(*args, **kwargs) 


return decorated_function 


E Es 





1， 当 用 @check_expired 装饰 一 个 函数 
时 ， check_expired() 被 调用 ， 被 装饰 的 函数 
作为 一 个 参数 被 传递 进来 。 

2. @wraps 是 一 个 装饰 甘 ， 告 知 Python 疡 
数 decorated function() @R TMA 
数 func() 。 严 格 来 说 这 不 是 必须 的 ， 但 是 这 
么 做 会 使 得 装饰 函数 更 加 自然 一 些 ， 更 有 利 
于 文档 和 调试 。 

3. decorated_function 将 截取 原本 传递 给 视图 

% 3 func() 的 args 和 kwargs。 在 这 里 我 们 检 


查 用 户 的 账户 是 否 过 期 。 如 果 是 ， 我 们 将 闪 
烁 一 则 信息 ， 并 重 定 向 到 账单 页 面 。 

4 既然 已 经 处 理 好 自己 的 事情 ， 我 们 把 原来 的 
BH HALA BA func() 去 继续 执行 


位 于 最 顶部 的 装饰 器 将 最 先 运行 ， 然 后 调用 下 一 
个 函数 : 一 个 视图 函数 或 下 一 个 装饰 器 。 装 饰 
语法 只 是 一 个 语法 粮 而 已 


2 


> 


a 


oO 


@foo 


Qbar 
def one(): 

pass 
| 
def two(): 

pass 
two = foo(bar(two) ) 
r2 = two() 


Pil == 72 2 Wele 


下 面 这 个 例子 用 到 了 我 们 自 定 义 的 装饰 器 和 来 自 
ee @login required X E ° R 
们 可 以 将 多 个 装饰 器 堆 成 栈 来 一 起 使 用 。 


myapp/views.py 


from flask import render_template 
from flask_login import login_required 


from . import app 
from .util import check_expired 


@app.route('/use_app' ) 
@login_required 
@check_expired 
def use_app(): 

wit 1 欢迎 光临 rn 


return render_template('use_app.html' ) 


@app.route('/account/billing' ) 
@login_required 
def account_billing(): 

Wu Nem eo RU Wwe 

# [...] 


return render_template('account/billing.h 





EEE) 


当 一 个 用 户 试图 访问 /use_app 
时 ， check_expired() 将 在 执行 视图 函数 之 前 确保 
相关 的 账户 资料 不 会 泄漏 。 


参见 在 Python 文档 中 可 以 读 到 更 多 关 

于 wraps() 的 内 

%- : http://docs.python.org/2/library/functools.h 
tml#functools.wraps 


URL 转 了 
内 建 转换 器 


当 你 在 Flask 中 定义 一 个 路 由 时 ， 你 可 以 将 指定 的 
一 部 分 转换 成 Python 变量 并 传递 给 视图 函数 。 
@app.route('/user/<username>' ) 


def profile(username): 
pass 


在 URL 中 作为 的 那 一 部 分 内 容 将 作为 username # 
数 传递 给 视图 函数 。 你 也 可 以 指定 一 个 转换 器 过 
滤 出 特定 的 类 型 。 


Q@app.route( '/user/id/<int:user_id>' ) 
def profile(user_id): 
pass 


在 这 个 代码 块 

+ > htto://myapp.com/user/id/tomato 这 个 URL 会 
返回 一 个 404 状 态 码 -- ULAR Wc 这 是 因为 
URL 中 预期 是 整数 的 部 分 却 遇 到 了 一 串 字 符 串 。 


我 们 可 以 有 另外 一 个 接受 一 个 字符 串 的 视图 函 
数 。/Usr/id/tomato/ 将 调用 它 ， 而 阐 一 个 函数 只 会 
被 /USer/id/124 所 调用 。 


下 面 吓 来 自 Flask 文 档 的 关于 默认 转换 器 的 表格 : 


类 型 作用 

string 接受 任何 没有 斜 枉 / 的 文本 (默认) 
int FEE A 

float ”类 似 于 int ， 但 是 接受 的 是 浮 点 数 
path ”类 似 于 string ， 但 是 接 党 斜 杠 / 


自 定 义 转 换 器 


我 们 也 可 以 按照 自己 的 需求 打造 自 定 义 的 转换 
器 。 Reddit - 一 个 知名 的 链接 分 享 网 站 - 用 户 在 
此 可 以 创建 和 管理 基于 主题 和 链接 分 享 的 社区 。 
比如 /r/python 和 /r/flask ， 分 别 由 

URL reddit.com/r/python 和 reddit.com/r/flask 
表示 。 Reddit 有 一 个 有 趣 的 特性 是 ， 通 过 在 URL 
中 用 一 个 + 隔 开 各 个 社区 名 ， 你 可 以 同时 看 到 来 
自 多 个 社区 的 帖子 。 比 

如 reddit.com/r/python+flask ° 


我 们 可 以 使 用 一 个 自 定义 转换 器 来 实现 这 种 特 
性 。 我 们 可 以 接受 由 加 号 隔离 开 来 的 任意 数目 参 
数 ， 通 过 我 们 的 ListConverter 转 换 成 一 个 列表 ， 


并 传递 给 视图 函数 。 
util.py 


from werkzeug.routing import BaseConverter 
class ListConverter(BaseConverter ) : 


def to_python(self, value): 


return value.split('+') 


def to url(self, values): 
return '+'.join(BaseConverter.to_url(' 
for value in values) 


a] = ; pn 





我 们 需要 定义 两 个 方 

法 : to_python() 和 to_url() ° 一 如 其 

Z > to_python() 用 于 转换 路 径 成 一 个 Python 对 
象 ， 并 传递 给 视图 函数 。 

而 to_url() 被 url_for() 调用 ， 来 转换 参数 成 为 
符合 URL 的 形式 。 


为 了 使 用 我 们 的 ListConverter， 我 们 首先 得 将 它 
的 存在 告知 Flask。 


/myapp/_ init .py 


from flask import Flask 
app = Flask(__name__) 
from .util import ListConverter 


app.url_map.converters['list'] = ListConverte! 





mi 








注意 假如 你 的 util 模 块 有 一 

行 from . import app ， 那 么 有 可 能 陷入 循环 
import 的 问题 。 这 就 是 为 什么 我 等 到 app 初 始 化 
之 后 才 import ListConverter ° 


现在 我 们 可 以 一 如 使 用 内 建 转换 器 一 样 使 用 我 们 
的 转换 器 。 我 们 在 字典 中 指定 它 的 键 为 "ist"， 所 
以 我 们 可 以 在 @app.route() 中 这 样 使 用 : 


views.py 


from . import app 


@app.route('/r/<list:subreddits>' ) 


def subreddit_home(subreddits): 
nun 显示 给 定 subreddits 里 的 所 有 帖子 """ 
posts = [] 


for subreddit in subreddits: 
posts.extend(subreddit.posts) 


return render_template('/r/index.html', pr 


Ap 





这 应 该 会 像 Reddit 的 子 社 区 系统 一 样 工 作 。 这 样 
的 方法 可 以 用 来 实现 你 能 想到 的 URL 转 换 器 。 


g 


WS 


Custom URL converters can be a great way 
to implement creative features involving 
URL's. 

来 目 Flask-Login 的 @login_required 装饰 器 
可 以 帮助 你 限制 验证 用 户 对 视图 的 访问 。 
Flask-Cache 插 件 为 你 提供 一 组 装饰 器 来 实现 
多 种 方式 的 绥 存 。 

我 们 可 以 开发 自 定义 视图 装饰 器 来 帮助 我 们 


组 织 自己 的 代码 ， 并 坚守 DRY(Don't Repeat 
Yourself 不 重复 你 目 己 ) 原 则 。 

。 自 定义 的 URL 转 换 器 将 会 让 你 很 海地 玩 转 
URL 。 





蓝图 定义 了 可 用 于 单个 应 用 的 视图 ， 模 板 ， 
和文 件 和 和 的 入 合 AANT Pine 下 我 们 
有 一 个 用 于 管理 面板 的 蓝图 。 这 个 蓝图 将 定义 
像 /admin/login 和 /admin/dashboard 这 样 的 路 由 的 
视图 。 它 可 能 还 包括 所 需 的 模板 和 静态 文件 。 你 
可 以 把 这 个 蓝图 当做 你 的 应 用 的 管理 面板 ， 管 它 


是 宇航 员 的 交友 网 站 ， 还 是 火箭 推销 员 的 CRM 系 
oF 9 


我 什么 时 候 会 用 到 蓝图 ? 


蓝图 的 杀手 铜 是 将 你 的 应 用 组 织 成 不 同 的 组 件 。 
假如 我 们 有 一 个 微 博 客 ， 我 们 可 能 需要 有 一 个 蓝 
图 用 于 网 站 页 面 ， 比 如 index.html 和 about.html。 
然后 我 们 还 需要 一 个 用 于 在 登录 面板 中 展示 最 新 
消息 的 蓝图 ， 以 及 另外 一 个 用 于 管理 员 面 板 的 蓝 
图 。 站 点 中 每 一 个 独立 的 区 域 也 可 以 在 代码 上 隔 
绝 开 来 。 最 终 你 将 能 够 把 你 的 应 用 依据 许多 能 宛 
成 单一 任务 的 小 应 用 组 织 起 来 。 


参见 从 Flask 文 档 中 读 到 更 多 使 用 蓝图 的 理由 
Why Blueprints 


我 要 把 它们 放 哪 里 ? 


就 像 Flask 里 的 每 一 件 事情 一 样 ， 你 可 以 使 用 多 种 
方式 组 织 应 用 中 的 蓝图 。 对 我 而 言 ， 我 喜欢 按照 
功能 (functional) 而 非 分 区 (divisional) 来 组 织 。( 这 
些 术 语 是 我 从 商业 世界 借 来 的 ) 


J) AE NRI 


在 功能 式 架构 中 ， 按 照 每 部 分 代码 的 功能 来 组 织 
你 的 应 用 。 所 有 模板 放 到 同一 个 文件 夹 中 ， 静 态 
文件 放 在 另 一 个 文件 夹 中 ， 而 视图 放 在 第 三 个 文 
件 夹 中 。 


yourapp/ 

__ init__.py 

static/ 

templates/ 
home/ 
control panel/ 
admin/ 

views/ 
__ init__.py 
home. py 
control_panel.py 
admin. py 

models. py 


Ks Y yourapp/views/_ init__.py’ 

在 yourappwijiews/ 文 件 夹 中 的 每 一 个 .py 文件 都 是 
一 个 蓝图 。 在 yourapp/ _init .py 中 ， 我 们 将 加 载 
这 些 蓝图 并 在 我 们 的 Flask 对 象 中 注册 它们 。 
等 会 我 们 将 在 本 章 了 解 到 这 是 怎么 实现 的 。 


参见 当 我 下 笔 之 时 ，flask.pocoo.org (Flask 
官网 ) 就 是 使 用 这 样 的 结构 的 。 
https://github.com/mitsuhiko/flask/tree/website/ 


flask_website 


TEARI 


在 分 区 式 架构 中 ， 按 照 每 一 部 分 所 属 的 蓝图 来 组 
织 你 的 应 用 。 管 理 面板 的 所 有 的 模板 ， 视 图 和 静 
态 文 件 放 在 一 个 文件 夹 中 ， 用 户 控 制 面板 的 则 放 
人 


yourapp/ 

S init__.py 

admin/ 
__ init__.py 
views. py 
static/ 
templates/ 

home/ 
__ init__.py 
views. py 
static/ 
templates/ 

control_panel/ 
__ init__.py 
views. py 
static/ 
templates/ 

models.py 


在 像 上 面 列举 的 分 区 式 结构 ， 每 一 个 yourapp/ 之 
下 的 文件 夹 都 是 一 个 独立 的 蓝图 。 所 有 的 蓝图 通 
过 顶级 的 ”jnit .py 注册 到 Flask() P ° 


哪 种 更 胜 一 筹 ? 


选择 使 用 哪 种 架构 实际 上 是 一 个 个 人 问题 。 两 者 
间 的 唯一 区 别 是 表达 层次 性 的 方式 不 同 -- 你 可 以 
使 用 任意 一 种 方式 架构 Flask 应 用 -- 所 以 你 所 需 的 
就 是 选择 贴近 你 的 需求 的 那个 。 


如 果 你 的 应 用 是 由 独立 的 ， 仅 仅 共享 模型 和 配置 
的 各 组 件 组 成 ， 分 区 式 将 是 个 好 选择 。 一 个 例子 
是 允许 用 户 建立 网 站 的 SaaS 应 用 。 你 将 会 有 独立 
的 蓝图 用 于 主页 ， 控 制 面板 ， 用 户 网 站 ， 和 高 亮 
面板 。 这 些 组 件 有 着 完全 不 同 的 静态 文件 和 布 

局 。 如 果 你 想 要 将 你 的 蓝图 提取 成 插件 ， 或 用 之 
于 别 的 项 目 ， 一 个 分 区 式 架 构 将 是 正确 的 选择 。 


另 一 方面 ， 如 果 你 的 应 用 的 组 件 之 间 的 联系 较为 
紧密 ， 使 用 功能 式 架 构 会 更 好 。 如 果 Facebook 是 
用 Flask 开 发 的 ， 它 将 有 一 系列 蓝图 ， 用 于 静态 页 
面 ( 比 如 登 出 主页 ， 注 册页 面 ， 关 于 ， 等 等 )， 面板 
(比如 最 新 消息 )， 用 户 内 容 (/robert/about 

和 /robert/photos)， 还 有 设置 页 面 
(/settings/security 和 /settings/privacy) 以 及 别 的 。 


这 些 组 件 都 共享 一 个 通 D 但 每 一 
个 都 有 它 自己 的 布局 。 下 面 是 一 个 非常 精简 的 可 
能 的 Facebook 结 构 ， 假 定 它 用 的 是 Flask。 


facebook/ 
= ANE se py. 
templates/ 
layout .html 
home/ 
layout. html 
index.html 
about .html 
signup.html 
login.html 
dashboard/ 
layout.html 
news_feed. html 
welcome. html 
find _friends. html 
profile/ 
layout .html 
timeline. html 
about .html 
photos.html 
friends. html 
edit. html 
settings/ 
layout. html 
privacy.html 
security. html 
general. html 
views/ 
__ init__.py 
home. py 


dashboard.py 
profile.py 
settings.py 
static/ 
style.css 
logo.png 
models.py 


位 于 facebook/NView/ 下 的 蓝图 更 多 的 是 视图 的 集合 
而 非 独 立 的 组 件 。 同 样 的 静态 文件 将 被 大 多 数 蓝 
图 重用 。 大 多 数 模 板 都 拓展 自 一 个 主 模板 。 一 个 
功能 式 的 架构 是 组 织 这 个 项 目的 好 的 方式 。 


我 该 怎么 使 用 它们 ? 
基本 用 法 


让 我 们 看 看 来 自 Facebook 例 子 的 一 个 蓝图 的 代 
码 : 


facebook/views/profile. py 


from flask import Blueprint, render_template 
profile = Blueprint('profile', _ name_) 


@profile.route('/<user_url_slug>' ) 
def timeline(user_url_slug): 
# 做 些 处 理 
return render_template('profile/timeline.| 


@profile.route('/<user_url_slug>/photos' ) 
def photos(user_url_slug): 
# 做 些 处 理 
return render_template( 'profile/photos.htr 


@profile.route('/<user_url_slug>/about ' ) 
def about(user_url_slug): 
# 做 些 处 理 
return render_template('profile/about.htm. 


EJER 





要 想 创建 一 个 蓝图 对 软 ， 你 需要 

import Blueprint() 类 并 用 参 

数 name 和 import_name 初始 化 。 通 第 

用 _name ” ， 一 个 表示 当前 模块 的 特殊 的 Python 
变量 ， 作 为 import_name 的 取 值 。 


假如 使 用 分 区 式 架 构 ， 你 得 告诉 Flask 某 个 蓝图 是 


有 着 自己 的 模板 和 静态 文件 夹 的 。 下 面 是 这 种 情 
况 下 我 们 的 定义 大 概 的 样子 : 


profile = Blueprint('profile', _ name , 
template_folder='template: 
static_folder='static' ) 











现在 我 们 已 经 定义 好 了 蓝图 。 是 时 候 向 Flask app 
注册 它 了 。 


facebook/ init .py 


from flask import Flask 
from .views.profile import profile 


app = Flask(__name__) 
app.register_blueprint (profile) 


现在 在 fackbook/iews/profile.py 中 定义 的 路 径 ( 比 
如 /<user_url slug> ) 会 被 注册 到 应 用 中 ， 就 像 是 


被 通过 @app.route() 定义 的 。 


使 用 一 个 动态 的 URL 前 级 


继续 看 Facebook 的 例子 ， 注 意 到 所 有 的 个 人 信息 
路 由 都 以 <user_url_slug> 开头 并 把 它 传递 给 视图 
函数 。 我 们 想 要 用 户 通 过 类 

似 http:/facebook.com/iohn.doe 的 URL 访 问 个 人 信 
息 。 通 过 给 所 有 的 蓝图 的 路 由 定义 一 个 动态 前 
级， 我 们 可 以 结束 这 种 单调 的 重复 。 


蓝图 允许 我 们 定义 静态 的 或 动态 的 前 级 。 举 个 例 
子 ， 我 们 可 以 告诉 Flask 蓝 图 中 所 有 的 路 由 应 该 
以 /profile 作 为 前 级 ; 这 样 是 一 个 静态 前 级 。 在 
Fackbook 这 个 例子 中 ， 前 组 取决 于 用 户 浏览 的 是 
谁 的 个 人 信息 。 他 们 在 URL 对 应 片段 中 输入 的 文 
本 将 决定 我 们 输出 的 视图 ; 这 样 是 一 个 动态 前 


DIZ 
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我 们 可 以 选择 何 时 定义 我 们 的 前 缓 。 我 们 可 以 在 
下 列 两 个 时 机 中 选择 一 个 定义 前 级 : 当 我 们 实例 
化 Blueprint() 类 的 时 候 ， 或 当 我 们 

在 app.register_blueprint() 中 注册 的 时 候 。 


下 面 我 们 在 实例 化 的 时 候 设 置 URL 前 级 : 


facebook/views/profile.py 


from flask import Blueprint, render_template 


profile = Blueprint('profile', _ name__, url- 








下 面 我 们 在 注册 的 时 候 设 置 URL 前 级 : 
facebook/ init .py 


from flask import Flask 
from .views.profile import profile 


app = Flask(__name__) 
app.register_blueprint(profile, url_prefix='/: 
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尽管 这 两 种 方式 在 技术 上 没有 区 别 ， 最 好 还 是 在 
注册 的 同时 定义 前 级 。 这 使 得 前 级 的 定义 可 以 集 
中 到 顶级 目录 中 。 因 此 ， 我 推荐 使 


用 url_prefix ° 
我 们 可 以 在 前 级 中 使 用 转换 器 (converters)， 就 像 


调用 route() 一 样 。 同 样 也 可 以 使 用 我 们 定义 过 的 
任意 自 定义 转换 器 。 通 过 这 样 做 ， 我 们 可 以 自动 


处 理 在 蓝图 前 级 中 传递 过 来 的 值 。 在 这 个 例子 

中 ， 我 们 将 根据 URL 片 段 获取 用 户 类 并 传递 到 我 
们 的 profile 蓝 图 中 。 我 们 将 通过 一 个 名 

为 url_value_preprocessor() 装饰 绒 来 做 到 这 一 
点 o 


facebook/views/profile.py 


from flask import Blueprint, render_template, 


from ..models import User 


# The prefix is defined in facebook/__init__.| 


profile = Blueprint('profile', _ name ) 


@profile.url_value_preprocessor 
def get_profile_owner(endpoint, values): 


query = User.query.filter_by(url_slug=vali 


g.profile_owner = query.first_or_404() 


@profile.route('/') 
def timeline(): 


return render_template( 'profile/timeline.| 


@profile.route('/photos' ) 
def photos(): 


return render_template( 'profile/photos.ht 


@profile.route('/about' ) 
def about(): 


return render_template('profile/about.htm. 


sy 





我 们 使 用 g 对 象 来 储存 个 人 信息 的 拥有 者 ， 而 g 
可 以 用 于 Jinja2 模 板 上 下 文 。 这 意味 着 在 这 个 简单 
的 例子 中 ， 我 们 仅仅 需要 演 染 模板 ， 需 要 的 信息 
就 能 在 模板 中 获取 。 


facebook/templates/profile/photos.html 


{% extends "profile/layout.html" %} 


{% for photo in g.profile_owner.photos.all() < 
<img src="{{ photo.source_url }}" alt="{{ 
{% endfor %} 








参见 Flask 文 档 中 有 一 个 关于 如 何 将 你 的 URL 国 
际 化 的 好 教程 : 
http://flask.pocoo.org/docs/patterns/urlprocess 
ors/#internationalized-blueprint-urls } 


使 用 一 个 动态 子 域 名 


今天 ， 许 多 SaaS 应 用 提供 用 户 一 个 子 域 名 来 访问 
他 们 的 软件 。 举 个 例子 ，Harvest， 评 一 个 针对 顾 
问 的 日 程 管理 软件 ， 它 在 
yourname.harvestapp.com 给 你 提供 了 一 个 控制 面 
板 。 下 面 我 将 展示 在 Flask 中 如 何 像 这 样 自动 生成 
一 个 子 域名 。 


在 这 一 节 ， 我 将 使 用 一 个 允许 用 户 创建 自己 的 网 
站 的 应 用 作为 例子 。 假 设 我 们 的 应 用 有 三 个 蓝图 
分 别针 对 以 下 的 部 分 : 用 户 注册 的 主页 面 ， 可 用 
于 建立 自己 的 网 站 的 用 户 管 理 面 板 ， 用 户 的 网 
站 。 考 虑 到 这 三 个 部 分 相对 独立 ， 我 们 将 用 分 区 
式 结 构 组 织 起 来 。 


Sitemaker/ 
__ init__.py 
home/ 
__ init__.py 
views. py 
templates/ 
home/ 
static/ 
home/ 
dash/ 
__ init__.py 
views. py 
templates/ 
dash/ 
static/ 
dash/ 
site/ 
__ init__.py 
views. py 
templates/ 
site/ 
static/ 
site/ 
models.py 


url 蓝图 目录 


sitemaker.com/ sitemaker/home 


bigdaddy.sitemaker.com sitemaker/site 


bigdaddy.sitemaker.com/admin sitemaker/dash 


定义 动态 子 域名 的 方式 和 定义 URL 前 缓 一样 。 同 
样 的 ， 我 们 可 以 选择 在 蓝图 文件 夹 中 ， 或 在 顶级 
目录 的 init .py 中 定义 它 。 这 一 次 ， 我 们 还 是 
在 sitemaker/ init .py 中 放置 所 有 的 定义 。 


sitemaker/ init__.py 
from flask import Flask 
from .site import site 


app = Flask(__name__) 
app.register_blueprint(site, subdomain='<site. 





-| OR 


既然 我 们 用 的 是 分 区 式 架 构 ， 蓝 图 将 
在 sitemaker/site/ init .py 定义 。 


sitemaker/site/ init py 


from flask import Blueprint 


from ..models import Site 
# 注意 首 字 母 大 写 的 Site 和 全 小 写 的 Site 是 两 个 完全 不 同 的 


4. 
Site 是 一 个 模块 ， 而 site 是 一 个 蓝图 。 
site = Blueprint('site', _ name_) 


@site.url_value_preprocessor 

def get_site(endpoint, values): 
query = Site.query.filter_by(subdomain=va. 
g.site = query.first_or_404() 


# 在 定义 Site 后 才 import Views。 视 图 模块 需要 jimport 
from . import views 


SSS 





现在 我 们 已 经 从 数据 库 中 获取 可 以 向 请 求 子 域名 
的 用 户 展示 的 站 点 信息 了 。 


为 了 使 Flask 能 够 支持 子 域名 ， 你 需要 修改 配置 变 


量 SERVER_NAME ° 


config.py 


Flask 2 2k 


SERVER_NAME = 'sitemaker.com' 


注意 几 分 钟 之 前 ， 当 我 正在 打 这 一 章 的 草稿 

时 ， 聊 天 室 中 某 人 求助 称 他 们 的 子 域名 能 够 在 
开发 环境 下 正常 工作 ， 但 在 生产 环境 下 就 会 失 
败 。 我 问 他 们 是 否 配 置 了 SERVER_NAME ， 结 果 
发 现 他 们 只 在 开发 环境 中 配置 了 这 个 变量 。 在 
生产 环境 中 设置 这 个 变量 解决 了 他 们 的 问题 。 


从 这 里 可 以 看 到 我 (imrobert) 和 aplavin 之 间 的 对 


T& 
http://dev.pocoo.org/irclogs/%23pocoo.2013- 
07-30.log 


注意 你 可 以 同时 设置 一 个 子 域 名 和 URL 前 级 。 
想 一 下 使 用 上 面 的 表格 的 URL 结 构 ， 我 们 要 怎 
样 来 配置 sitemaker/dash ° 


使 用 蓝图 重 构 小 型 应 用 


Eat 
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我 打算 通过 一 个 简单 的 例子 来 展示 用 蓝图 重 写 一 
个 应 用 的 几 个 步 又。 我 们 将 从 一 个 典型 的 Flask 应 
用 起 步 ， 然 后 重 构 它 。 


config.txt 
requirements.txt 


run.py 
gnizama/ 
__ init__.py 
views. py 
models.py 
templates/ 
static/ 
tests/ 


Views.py 文 件 已 经 膨胀 到 10,000 行 代码 了 。 重 构 
的 工作 被 一 推 再 推 ， 到 现在 已 经 无 路 可 退 。 这 个 
文件 包括 了 我 们 的 网 站 的 所 有 的 视图 ， 比 如 主 
页 ， 用 户 面板 ， 管 理 员 面 板 ，API 和 公司 博客 。 


Step 1: 分 区 式 还 是 功能 式 ? 


这 个 应 用 由 关联 较 小 的 各 部 分 构成 。 模 板 和 静态 
文件 不 太 可 能 在 蓝图 间 共 等 ， 所 以 我 们 将 使 用 分 
区 亏 结 构 。 


Step 2: 分 而 治 2 


注意 在 你 对 你 的 应 用 大 刀 阔 伏 之 前 ， 把 一 切 提 
交 到 版 本 控制 。 你 不 会 接受 对 任何 有 用 的 东西 
的 意外 删除 。 


接 下 来 我 们 将 继续 前 进 ， 为 我 们 的 新 应 用 创建 目 
录 树 。 从 为 每 一 个 蓝图 创建 一 个 目录 开始 吧 。 然 
后 整体 复制 views.py，static/ 和 templates/ 到 每 一 
个 蓝图 文件 夹 。 接 着 你 可 以 从 顶级 目录 删除 掉 它 
们 了 。 


config.txt 
requirements.txt 
run.py 
gnizama/ 
__ init__.py 
home/ 
views.py 
static/ 
templates/ 
dash/ 
views.py 
static/ 
templates/ 
admin/ 
views.py 
static/ 
templates/ 
api/ 
views.py 
static/ 
templates/ 
blog/ 
views .py 
static/ 
templates/ 
models.py 
tests/ 


Step 3 : 大 扫除 


ee ， 移 除 无 关 的 视 
， 静态 文件 和 模板 。 你 在 这 一 阶段 的 处 境 很 大 
度 上 取决 于 一 开始 你 是 怎么 组 织 你 的 应 用 的 。 


冬 结果 应 该 是 : 每 个 蓝图 有 一 个 views.py 包括 
里 的 所 有 视图 ， 没 有 两 个 蓝图 对 同一 个 路 
义 了 视图 ; 每 一 个 templates/ 文 件 夹 应 该 只 包 
旷 图 所 需 的 模板 ; 每 一 个 static/ 文 件 夹 应 该 只 
该 蓝图 所 需 的 静态 文件 。 


ey A BH OS 
ae eee 


注意 趁 此 机 会 消除 所 有 不 必要 的 import。 很 容 
钨 忽略 掉 他 们 的 存在 ， 但 他 们 会 拥塞 你 的 代 
码 ， 其 至 拖 慢 你 的 应 用 。 


Step 4 : 蓝图 


在 这 一 部 分 我 们 把 文件 夹 转换 成 蓝图 。 关 键 在 于 
init .py 文件 。 作 为 开始 ， 让 我 们 看 一 下 API 蓝 
图 的 定义 。 


gnizama/api/ _init__.py 


from flask import Blueprint 

api = Blueprint ( 
"site', 
__name_, 
template_folder='templates', 
static_folder='static' 


) 


from . import views 


接着 我 们 可 以 在 gnizama 的 顶级 目录 下 的 
int .py 中 注册 这 个 蓝图 。 
gnizama/_init__.py 

from flask import Flask 

from .api import api 

app = Flask(__name__) 


# 在 api.gnizama.com 中 添加 API 蓝 图 
app.register_blueprint(api, subdomain='api' ) 


| 
确保 路 由 现在 是 在 蓝图 中 注册 的 ， 而 不 是 在 app 对 
象 。 下 面 是 在 我 们 重 构 应 用 之 前 ， 一 个 

在 gnizama/Views.py 的 APl 路 由 可 能 的 样子 。 


gnizama/views.py 


from . import app 


@app.route('/search', subdomain='api' ) 
def api_search(): 
在 蓝图 中 它 看 上 去 像 这 样 


gnizama/api/views. py 


from . import api 


@api.route('/search' ) 
def search(): 
pass 


Step 5: 大 功 告 成 


现在 我 们 的 应 用 已 经 比 只 有 单个 腑 肿 的 views.py 的 
时 候 更 加 模块 化 了 。 


CM 


a 2 
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。 一 个 蓝图 包括 了 可 以 作为 独立 应 用 的 视图 ， 
模板 ， 静 态 文件 和 其 他 插件 。 

o 蓝图 是 组 织 你 的 应 用 的 好 办 法 。 

o 在 分 区 式 架构 下 ， 每 个 蓝图 对 应 你 的 应 用 的 
一 个 部 分 。 

。 在 功能 式 架构 下 ， 每 个 蓝图 就 只 是 视图 的 集 
合 。 所 有 的 模板 和 静态 文件 都 放 在 一 块 。 

。 要 使 用 蓝图 ， 你 需要 定义 它 ， 并 在 应 用 中 
用 Flask.register_blueprint() 注册 它 。 

。 你 可 以 给 一 个 蓝图 中 的 所 有 路 由 定义 一 个 动 
态 URL 前 级 。 

o 你 也 可 以 给 蓝图 中 的 所 有 路 由 定义 一 个 动态 
子 域名 。 

。 仅 需 五 步 走 ， 你 可 以 用 蓝图 重 构 一 个 应 用 。 





模板 


尽管 Flask 并 不 强迫 你 使 用 某 个 特定 的 模板 语言 ， 
它 还 是 默认 你 会 使 用 Jinja。 在 Flask 社 区 的 大 多 数 
开发 者 使 用 Jinja， 并 且 我 建议 你 也 跟着 做 。 有 一 


些 播 件 允 许 你 用 其 他 模板 语言 进行 替代 (比如 
Ba 但 除非 你 有 充分 理 

由 (不 I 分 的 理由 1! ) >A 
请 保持 那个 默认 的 选项 ; 这 样 你 会 避免 浪费 很 多 
时 间 来 焦头烂额 。 


注意 几乎 所 有 提 及 Jinja 的 资源 讲 的 都 是 
Jinja2。Jinja1 确 实 曾 存在 过 ， 但 在 这 里 我 们 不 
会 讲 到 它 。 当 你 看 到 Jinja 时 ， 我 们 讨论 的 是 这 
Jinja: http://jinja.pocoo.org/ 


Jinja 快 速 入 门 


ee 四 方面 做 
得 很 棒 。 在 这 里 我 不 会 吧 嗓 一 遍 ， 但 还 是 会 再 一 
次 向 你 强调 下 面 一 点 : 


Jinja 有 两 种 定 界 
符 。{% ... 和 ££... }} 。 前 者 用 于 执行 
像 for 循 环 或 赋值 等 语句 ， 后 者 向 模板 输出 一 个 
表达 式 的 结果 。 


参见 : 


http://jinja.pocoo.org/docs/templates/#synopsi 
S 


怎样 组 织 模板 


所 以 要 将 模板 放 进 我 们 的 应 用 的 哪里 呢 ? 如 果 你 
是 从 头 开 始 阅 读 的 本 文 ， 你 可 能 注意 到 了 Flask 在 
对 待 你 如 何 组 织 项 目 结构 的 事情 上 十 分 随意 。 模 
板 也 不 例外 。 你 大 概 也 已 经 注意 到 ， 总 会 有 一 个 
放置 文件 的 推荐 位 置 。 记 住 两 点 。 对 于 模板 ， 这 
个 最 佳 位 置 是 放 在 包 文件 夹 下 。 


myapp/ 
__ init__.py 
models.py 
views/ 
templates/ 
static/ 
run.py 
requirements.txt 


让 我 们 打开 模板 文件 夹 看 看 。 


templates/ 
layout.html 
index.html 
about.html 
profile/ 
layout.html 
index.html 
photos.html 
admin/ 
layout.html 
index.html 
analytics.html 


模板 的 结构 平行 于 对 应 的 路 由 的 结构 。 对 应 于 路 
由 myapp.com/admin/analytics 的 模板 
z<templates/admin/analytics.html ° 7% ŁA — 4 


额外 的 模板 不 会 被 直接 演 染 。layout.htm/ 文 件 就 是 
用 于 被 其 他 模板 继承 的 。 


继承 


就 像 蝙 蝠 侠 一 样 ， 一 个 组 织 良 好 的 模板 文件 夹 也 
离 不 开 继 承 带 来 的 好 处 。 基 础 模板 通常 定义 了 一 
个 适用 于 所 有 的 子 模 板 的 主体 结构 。 在 我 们 的 例 
子 里 ，/ayout.html 是 一 个 基础 模板 ， 而 其 他 的 html 
文件 都 是 子 模 板 。 


通常 ， 你 会 有 一 个 顶级 的 /ayout.htm/ 定 义 你 的 应 用 
的 主体 布局 ， 外 加 站 点 的 每 一 个 节点 也 有 自己 的 
一 个 /ayout.html。 如 果 再 看 一 眼 上 面 的 文件 夹 结 
构 ， 你 会 看 到 一 个 顶级 的 
myapp/templates/layout.html， 以 及 
myapp/templates/profile/layout.html 和 和 
myapp/templates/admin/ayout.html。 后 两 个 文件 
继承 并 修改 第 一 个 文件 。 


继承 是 通过 {% extends %} 和 {% block %} 标签 
实现 的 。 在 双亲 模板 中 ， 你 可 以 定义 要 给 子 模 板 
x £2.89 block ° 


myapp/templates/layout.html 


<!DOCTYPE html> 
<html lang="en"> 
<head> 
<title>{% block title %}{% endblock % 
</head> 
<body> 
{% block body %} 
<h1> 这 个 标题 在 双亲 模板 中 定义 </h1> 
{% endblock %} 
</body> 
</html> 


a] — 





在 子 模板 中 ， 你 可 以 拓展 双亲 模板 并 定义 block 里 
面 的 内 容 。 


myapp/templates/index.html 


{% extends "layout.html" %} 
{% block title %}Hello world! {% endblock %} 
{% block body %} 
{{ super() }} 
<h2> 这 个 标题 在 子 模板 中 定义 </h2> 
{% endblock %} 


super() HARME FAR ARB Ao LK RAR 
这 个 block 的 内 容 。 


参见 若 想 了 解 更 多 关于 继承 的 内 容 ， 请 移 步 到 
Jinja 模 板 继承 方面 的 文档 。 
http://jinja.pocoo.org/docs/templates/#template 
-inheritance 


BIE 


凭借 将 反复 出 现 的 代码 片段 抽象 成 宏 ， 我 们 可 以 
实现 DRY 原 则 (Don't Repeat Yourself) 。 在 撰写 
用 于 应 用 的 导航 功能 的 HTML 时 ， 我 们 可 能 会 需要 
给 “活跃 "链接 (比如 ， 到 当前 页 面 的 链接 ) 一 个 不 
同 的 类 。 如 果 没 有 宏 ， 我 们 将 不 得 不 使 用 一 大 堆 
if/else 语 名 来 从 每 个 链接 中 过 滤 出 “活跃 "链接 。 


宏 提供 了 模块 化 模板 代码 的 一 种 方式 ;它们 就 像 
是 函数 一 样 。 让 我 们 看 一 下 如 何 使 用 宏 来 标记 活 
路 链接 。 


myapp/templates/layout.html 


{% from "macros.htmL" import nav_link with col 
<!DOCTYPE html> 
<html lang="en"> 
<head> 
{% block head %} 
<title> 我 的 应 用 </title> 
{% endblock %} 
</head> 
<body> 
<ul class="nav-list"> 
{{ nav_link('home', 'Home') }} 
{{ nav_link('about', ‘About') }} 
{{ nav_link('contact', 'Get in tol 
</ul> 
{% block body %} 
{% endblock %} 
</body> 
</html> 





现在 我 们 调用 了 一 个 尚未 定义 的 宏 - nav_link - 
并 传递 两 个 参数 给 它 : 一 个 目标 (比如 目标 视图 
Ny HAZ) 和 我 们 想 要 展示 的 文本 。 


Flask 之 旅 
注意 你 可 能 注意 到 了 我 们 在 import 语 名 中 加 入 
了 with context 。Jinja 的 上 下 文 (context) 包 括 
了 通过 render_template() 函数 传递 的 参数 以 
及 在 我 们 的 Python 代码 的 Jinja 环 境 上 下 文 。 这 
些 变 量 能 够 被 用 于 模板 的 泻 染 。 


一 些 变 量 是 我 们 显 式 传递 过 去 的 ， 上 比 

如 render _template("index.html", color="red") 
， 但 还 有 些 变 量 和 函数 是 Flask 自 动 加 入 到 上 下 
文 的 ， 比 如 request ，g 和 session 。 使 用 

了 {270 Om MBO Ee ware WLEM COM. vole ° 


我 们 告诉 Jinja 让 所 有 的 变量 也 在 宏 里 可 用 。 
参见 


。 所 有 的 全 局 变量 都 是 由 Flask 传 递 给 Jinja 上 
下 文 的 : 
http://flask.pocoo.org/docs/templating/#st 
andard-context 
通过 上 下 文 处 理 器 (context 
processors) ， 我 们 可 以 增加 传递 给 Jinja 
LP Cy Be Fe HB: 
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http://flask.pocoo.org/docs/templating/#co 
ntext-processors 


是 时 候 定义 模板 中 用 的 nav link ET ° 


myapp/templates/macros.html 


{% macro nav_link(endpoint, text) %} 
{% if request.endpoint.endswith(endpoint) %} 
<li class="active"><a href="{{ url_for(en 
{% else %} 
<li><a href="{{ url_for(endpoint) }}">{{te 
{% endif %} 
{% endmacro %} 





现在 我 们 已 经 在 myapp/templates/macros.html 中 
定义 了 一 个 宏 。 我 们 所 做 的 ， 就 是 使 用 Flask 

的 request Z - 默认 在 Jinja 上 下 文中 可 用 -来 
检查 当 前 路 由 是 否 是 传递 给 nav_link 的 那个 路 由 
和 参数。 如 果 是 ， 我 们 就 在 目标 链接 指向 的 页 面 
上 ， 于 是 可 以 标记 它 为 活跃 的 。 


注意 from x import y 语句 中 要 求 X 是 相对 于 y 
的 相对 路 径 。 如 果 我 们 的 模板 位 于 
myapp/templates/user/blog.html， 我 们 需要 使 


用 from "../macros.html" import nav_link with 


Seas. 
中 的 表达 式 的 值 的 函 


<h2>{{ article.title|title }}</h2> 


在 这 个 代码 中 ， title 过 滤器 接 

Š% article.title N ， 
用 于 输出 到 模板 中 。 它 的 语法 ， 以 及 功能 ， 展 一 
如 Unix 中 修改 程序 输出 的 “管道 "一 样 。 


isk 之 旅 

除了 title ， 还 有 许 许 多 多 别 的 内 建 的 过 
滤器 。 在 这 里 可 以 看 到 完整 的 列表 : 
http://jinja.pocoo.org/docs/templates/#builtin- 


F 


oO 


= 


Jaj 


filters 


我 们 可 以 自 定 义 用 于 Jinja 模 板 的 过 滤器 。 作 为 例 
子 ， 我 们 将 实现 一 个 简单 的 caps 过 滤器 来 使 字符 
串 中 所 有 的 字母 大 写 


注意 Jinja 已 经 有 一 个 upper 过 滤器 
mB? 还 有 一 个 rs 过 滤 AA 
字符 并 小 写 剩余 字符 。 这 些 过 滤器 还 能 处 理 
Unicode 和 转换 ， 不 过 我 们 的 这 个 例子 
阅 述 相关 概念 。 


`o 
ahr 
ny, 
A4 


我 们 将 在 myapp/utilWfilters.py 中 定义 我 们 的 过 滤 
Fo RA util 包 可 以 用 来 放置 各 种 杂项 。 


myapp/util/filters. py 


from .. import app 


@app.template_filter() 

def caps(text): 
"""Convert a string to all caps.""" 
return text.uppercase( ) 


在 上 面 的 代码 中 ， 

过 @app.template filter() 装饰 器 ， 我 们 能 将 茶 
个 函数 注册 成 Jinja 过 滤器 。 默 认 的 过 滤器 名 字 就 
是 函数 的 名 字 ， 但 是 通过 传递 一 个 参数 给 装 
入 ， 你 可 以 改变 它 : 


4 


-5 


@app.template_filter('make_caps' ) 

def caps(text): 
"""Convert a string to all caps.""" 
return text.uppercase( ) 


现在 我 们 可 以 在 模板 中 调用 make_caps 而 不 


是 caps - {{ "hello world!"|make_caps }} ° 


为 了 让 我 们 的 过 滤器 在 模板 中 可 用 ， 我 们 仅 需 要 
在 顶级 init .py 中 import 它 。 


myapp/_init .py 


# 确保 app 已 经 被 初始 化 以 免 导致 循环 import 
from .util import filters 


ey BE 


ÈK 


WR 


。 使 用 Jinja 作 为 模板 语言 。 


e Jinja A A F J 
符 : {% ... ee 。 前 者 用 于 执 
行 类 似 循 环 或 赋值 的 语句 ， 后 者 向 模板 输出 
RIK A RAN RR 


模板 应 该 放 在 myapp/templates/- 一 个 在 应 用 
文件 夹 里 面 的 目录 。 


我 建议 template/ 文 件 夹 的 结构 应 该 与 应 用 

URL 结 构 一 一 对 应 。 

。 你 应 该 在 myapp/templates 以 及 站 点 的 每 一 部 
分 放置 一 个 /layout.html 作 为 布局 模板 。 后 者 是 
前 者 的 拓展 。 

o 可 以 用 模板 语言 写 类 似 于 有 函数 的 安 。 

。 可 以 用 Python 代码 写 应 用 在 模板 中 的 过 滤 区 


Flask 之 旅 


模板 
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静态 文件 


一 如 其 名 ， 静 态 文件 是 那些 不 会 改变 的 文件 。 一 
般 情况 下 ， 在 你 的 应 用 中 ， 这 包括 CSS 文 件 ， 
Javascript 文 件 和 图 片 。 它 也 可 以 包括 视频 文件 和 


其 他 可 能 的 东西 。 


组 织 你 的 静态 文件 


我 们 将 在 应 用 的 包 中 创建 一 个 叫 static 的 文件 夹 放 
置 我 们 的 静态 文件 。 


myapp/ 
= init__.py 
static/ 
templates/ 
views/ 
models.py 


run.py 


static/ 里 面 的 文件 组 织 方式 取决 于 个 人 的 爱好 。 就 
我 个 人 来 说 ， 如 果 第 三 方 库 (比如 jQuery, 
Bootstrap 等 等 ) 跟 自 己 的 Javascript 和 CSS 文 件 混 
起 来 ， 我 会 因此 而 不 表 。 所 以 ， 我 要 将 第 三 方 库 
全 放 到 一 个 /ib/ 文 件 夹 中 。 有 时 会 用 vendor/ 来 代替 
lib/ ° 


static/ 
css/ 
lib/ 
bootstrap.css 
style.css 
home.css 
admin.css 
js/ 
lib/ 
jquery.js 
home.js 
admin.js 
img/ 
logo.svg 
favicon.ico 


提供 一 个 favicon 


用 户 将 通过 yourapp.com/static/ 访 问 你 的 静态 文件 
夹 中 的 文件 。 上 默认 下 浏览 器 和 其 他 软件 认为 你 的 
favicon 位 于 yourapp.com/favicon.ico。 要 想 解 决 
这 种 不 一 致 。 你 可 以 在 站 点 模板 的 <head> 部 分 添 
加 下 面 内 容 。 


<link rel="shortcut icon" href="{{ url_for('s' 


‘| — B 








Fi] Flask-Assets © 22 ## AX 
件 


Flask-Assets 是 一 个 管理 静态 文件 的 插件 。 它 提供 
了 两 种 非常 有 用 的 特性 。 首 先 ， 它 允许 你 在 
Python 代码 中 定义 多 组 (bundles) 可 以 同时 插入 
你 的 模板 的 静态 文件 。 其 次 ， 它 允许 你 预 处 理 这 
些 文件 。 这 意味 着 你 可 以 合并 并 压缩 你 的 CSS 和 
Javascript 文 件 ， 这 样 用 户 就 会 仅仅 得 到 两 个 压缩 
后 的 文件 (CSS 和 Javascript) 而 免 于 花费 太 多 带 
宽 。 你 甚至 可 以 从 Sass，Less，CoffeeScript 或 别 
的 源码 里 编译 出 最 终 产 物 。 


下 面 是 这 一 草 中 也 做 例子 的 静态 文件 夹 的 基本 结 
构 。 


myapp/static/ 


static/ 
css/ 
lib/ 
reset.css 
common.css 
home .css 
admin.css 
js/ 
lib/ 
jquery-1.10.2.js 
Chart.js 
home.js 
admin.js 
img/ 
logo.svg 
favicon.ico 


定义 分 组 


我 们 的 应 用 有 两 部 分 : 公共 网 站 和 管理 面板 (分 
别称 作 "home" 和 "admin") 。 我 们 将 定义 四 个 分 组 
RE HC : 每 个 部 分 有 一 个 Javascript 和 一 个 CSS 


分 组 。 我 们 将 它们 放 入 util 包 里 的 assets 模 块 。 


myapp/util/assets.py 


from flask_assets import Bundle, 
from .. import app 


bundles = { 


‘home_js': Bundle( 


'jJs/lib/jquery-1.10.2.js', 


'jJs/home.js', 
output='gen/home.js), 


"home_css': Bundle( 
'css/lib/reset.css', 
"css/common.css', 
'css/home.css', 
output='gen/home.css), 


‘admin_js': Bundle( 


'Js/lib/jquery-1.10.2.js', 


'jJs/lib/Chart.js', 
'js/admin.js', 
output='gen/admin.js), 
'admin_css': Bundle( 
'css/lib/reset.css', 
"'css/common.css', 


'css/admin.css', 
output='gen/admin.css) 


} 


assets = Environment(app) 


assets.register(bundles) 


E 





Environment 


Zl 





Flask-Assets 按 照 被 列 出 来 的 顺序 合并 你 的 文件 。 


4 Radmin jstk *Hjquery-1.10.2,js > A tejquery 7% 
列 在 前 面 。 


我 们 通过 字典 来 定义 分 组 ， 这 样 方便 注册 它 

们 。webassets， 实 际 上 是 Flask-Assets 的 核心 ， 
提供 了 一 系列 方式 来 注册 分 组 ， 包 括 上 面 我 们 演 
示 的 以 字典 作 参 数 的 方法 。 (译注 : Webassets 之 
T Flask-Assets > 正如 SQLAIchemy 之 于 Flask- 
SQLAIchemy ° ) 


参见 Webassets 在 这 里 注册 了 分 组 : 
https://github.com/miracle2k/webassets/blob/0 
.8/src/webassets/env.py#L380 


既然 我 们 已 经 在 util.assets 中 注册 了 我 们 的 分 
组 ， 剩 下 的 就 是 在 _init .py 中 ， 在 app 对 象 初始 
化 之 后 ， 来 导入 这 个 模块 。 


myapp/_init .py 


# [...] Initialize the app 


from .util import assets 


使 用 你 的 分 组 
下 面 是 我 们 的 例子 中 的 模板 文件 夹 : 


myapp/templates/ 


templates/ 
home/ 
layout .html 
index.html 
about. html 
admin/ 
layout .html 
dash. html 
stats. html 


要 使 用 我 们 的 admin 分 组 ， 我 们 将 插入 它们 到 
admin 部 分 的 基础 模板 - admin/layout.html - 中。 


myapp/templates/admin/layout.html 


<!DOCTYPE html> 
<html lang="en"> 
<head> 
{% assets "admin_js" %} 
<script type="text/javascript" sr 
{% endassets %} 
{% assets "admin_css" %} 
<link rel="stylesheet" href="{{ A! 
{% endassets %} 
</head> 
<body> 
{% block body %} 
{% endblock %} 
</body> 
</html> 





对 于 home 分 组 ， 我 们 也 同样 
在 templates/home/layout.html 做 一 样 的 处 理 。 


AR A IES 


我 们 可 以 使 用 Webassets 过 滤器 来 预 处 理 我 们 的 静 
态 文 件 。 这 将 方便 我 们 压缩 Javascript 和 CSS 文 
件 。 现 在 修改 下 我 们 的 代码 来 实现 这 一 点 。 


myapp/util/assets.py 


oa rere 
bundles = { 


‘home_js': Bundle( 
'lib/jquery-1.10.2.js', 
'jJs/home.js', 
output='gen/home.js', 
filters='jsmin'), 


"home_css': Bundle( 
'lib/reset.css', 
"'css/common.css', 
'css/home.css', 
output='gen/home.css', 
filters='cssmin'), 


'admin_js': Bundle( 
'lib/jquery-1.10.2.js', 
'lib/Chart.js', 
'jJs/admin.js', 
output='gen/admin.js', 
filters='jsmin'), 


'admin_css': Bundle( 
'lib/reset.css', 
"'css/common.css', 
'css/admin.css', 
output='gen/admin.css', 
filters='cssmin' ) 


Flask 之 旅 
注意 要 想 使 用 jsmin 和 cssmin 过 滤器 ， 你 需 
要 安装 jsmin 和 cssmin 包 (使 
用 pip install jsmin cssmin ) 。 确 保 把 它们 
也 加 入 到 requirements.txt ° 


一 旦 模板 已 经 演 染 好 ，Flask-Assets 将 在 合并 的 同 
时 压缩 我 们 的 文件 ， 而 且 当 其 中 一 个 源 文件 改变 
时 ， 它 会 自动 更 新 压缩 文件 。 


注意 如 果 你 在 配置 中 设 
置 ASSETS_DEBUG = True ， Flask-Assets 将 独立 
输出 每 一 个 源 文件 而 不 会 合并 它们 。 


参见 你 可 以 使 用 Flask-Assets 过 滤器 来 自动 编 
Sass ，Less，CoffeeScript， 和 其 他 预 处 理 

。 来 看 下 你 还 可 以 使 用 哪些 过 滤器 : 
http://elsdoerfer.name/docs/webassets/builtin__ 


filters.html#js-css-compilers 


ans 


XK 
ANS 


g 
g 


静态 文件 归于 static/ 文 件 夹 。 
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。 将 第 三 方 库 跟 你 自己 的 静态 文件 隔离 开 来 。 

o 在 你 的 模板 里 指定 你 的 favicon 的 路 径 。 

。 使 用 Flask-Assets 来 在 模板 插入 你 的 静态 文 
ie 

。Flask-Assets 可 以 编译 ， 合 并 以 及 压缩 你 的 静 
态 文件 。 





和 存储 


大 多 数 Flask 应 用 都 将 要 跟 数 据 打 交道 。 有 很 多 种 
不 同 的 方法 存储 数据 。 至 于 哪 种 最 优 ， 取 决 于 数 
据 的 类 型 。 如 果 你 储存 的 是 关系 性 数据 (比如 一 


个 用 户 有 多 个 邮件 ， 一 个 邮件 对 应 一 个 用 户 ) ， 
关系 型 数据 库 无 疑 是 你 的 选择 。 其 他 类 型 的 数据 
也 许 适 合 储存 到 NoSQL 数 据 库 (比如 MongoDB ) 
中 。 


我 不 会 告诉 你 如 何 为 你 的 应 用 选择 数据 库 。 如 果 
有 人 告诉 你 ，NoSQL 是 你 的 唯一 选择 ; 那么 必然 
也 会 有 人 建议 用 关系 型 数据 库 处 理 同样 的 问题 。 

对 此 我 唯一 需要 说 的 是 ， 如 果 你 不 清楚 ， 关 系 型 
数据 库 (MySQL, PostgreSQL 等 等 ) 将 满足 你 绝 
大 部 分 的 需求 。 


另外 ， 当 你 使 用 关系 型 数据 库 ， 你 就 能 用 到 
SQLAIchemy， 而 SQLAIchemy 用 起 来 趴 爽 。 


SQLAIchemy 


SQLAIchemy 是 一 个 ORM (对 象 关 系 映 射 ) 。 基 
于 对 目标 数据 库 的 原生 SQL 的 抽象 ， 它 提供 了 与 
一 长 串 数 据 库 引擎 的 一 致 的 APl。 这 一 列表 中 包括 
MySQL，PostgreSQL， 和 SQLite。 这 使 得 在 你 的 


模型 和 数据 库 间 交换 数据 变 得 轻松 愉快 ， 同 时 也 
使 得 诸如 换 抒 数据 库 引 擎 和 迁移 数据 库 模 式 等 其 
他 事情 变 得 没 那 么 繁 珊 。 


存在 一 个 很 棒 的 Flask 揪 件 使 得 在 Flask 中 使 用 
SQLAIchemy 更 为 轻松 。 它 就 是 Flask- 
SQLAIchemy ° Flask-SQLAIchemy 为 
SOLARE E 合理 的 配置 。 它 也 内 置 了 
一 些 session 管 理 ， 这 样 你 就 不 用 在 应 用 代码 里 处 
理 这 种 基础 事务 了 。 


让 我 们 深入 看 看 一 些 代码 。 我 们 将 先 定义 一 些 模 
型 ， 接 着 配置 下 SQLAchemy。 这些 模型 将 位 于 
myapp/models.py， 不 过 首先 我 们 要 

在 myapp/_init .py 定义 我 们 的 数据 库 。 


myapp/_init_ .py 


from flask import Flask 
from flask_sqlalchemy import SQLALchemy 


app = Flask(__name__, instance_relative_confit 


app.config.from_object('config' ) 
app.config.from_pyfile('config.py' ) 


db = SQLAlchemy (app ) 
| 





我 们 首先 初始 化 并 配置 你 的 Flask 应 用 ， 然 后 用 它 
来 初始 化 你 的 SQLAIchemy 数 据 库 处 理 程序 。 我 们 
将 为 数据 库 配 置 使 用 一 个 instance 文 件 夹 ， 所 以 我 
们 应 该 在 初始 化 应 用 时 加 

上 instance_relative_config 选项 ， 然 后 调 

用 app.config.from_pyfile 。 现 在 我 们 可 以 定义 
模型 了 。 


myapp/models.py 


from . import db 

Class Engine(db.Model): 
# Columns 
id = db.Column(db.Integer, primary_key=Tr 
title = db.Column(db.String(128) ) 


thrust = db.Column(db.Integer, default=0) 


a] — i | 和 





Column °’ Integer ， String ， Model 和 其 他 的 
SQLAIchemy 类 都 可 以 通过 由 Flask-SQLAIchemy 
构造 的 db 对 象 访问 。 我 们 会 定义 一 个 储存 我 们 
的 太空 飞船 引擎 的 当前 状态 的 模型 。 每 个 引擎 有 
一 个 ID， 一 个 标题 和 一 个 推力 等 级 。 


我 们 需要 往 我 们 的 配置 添加 一 些 数据 库 信 息 。 我 
们 打算 使 用 一 个 instance 文 件 夹 来 避免 配置 变量 被 
记录 进 版 本 控制 系统 ， 所 以 我 们 要 把 它们 放 

入 instance/contig.py ° 


instance/contig.py 


SQLALCHEMY_DATABASE_URI = "postgresql: //user:| 























i 





注意 你 的 数据 库 URI 将 取决 于 你 选择 的 数据 库 
和 它 部 署 的 位 置 。 看 一 下 这 个 相关 的 
SQLAlIchemy <7 : 
http://docs.sqlalchemy.org/en/latest/core/engin 
es.html?highlight=database#database-urls 


初始 化 数据 库 


既然 数据 库 已 经 配置 好 了 ， 而 模型 也 定义 了 ， 征 
时 候 初 始 化 数据 库 了 。 这 个 步骤 从 由 模型 定义 中 
创建 数据 库 模 式 开 始 。 


通常 这 会 是 非常 痛苦 的 过 程 。 不 过 幸运 的 是 ， 
SQLAIchemy 提 供 了 一 个 十 分 酷 的 工具 帮 我 们 完成 
了 所 有 的 琐事 。 


让 我 们 在 版 本 库 的 根 目 录 下 打开 一 个 Python 终 


> 出 
Ti e 


$ pwd 

/Users/me/Code/myapp 

$ workon myapp 

(myapp)$ python 

Python 2.7.5 (default, Aug 25 2013, 00:04:04) 
[GCC 4.2.1 Compatible Apple LLVM 5.0 (clang-5( 
Type "help", "copyright", "credits" or "licen: 
>>> from myapp import db 

>>> db.create_all() 

2S 


了 _ Bee 





现在 ， 感 谢 SQLAIchemy， 你 会 发 现在 你 配置 的 数 
据 库 中 ， 所 需 的 表格 已 经 被 创建 出 来 了 。 


Alembic:t #4 1 £ 


数据 库 的 模式 并 非 豆 古 不 变 的 。 举 个 例子 ， 你 可 
能 需要 在 引擎 的 表 里 添 加 一 个 last_fired 的 项 。 
如 果 这 个 表 是 一 张 白 纸 ， 你 只 需要 更 新 模型 并 重 
新 运行 db.create elt) °° 然而 ， 如 果 你 在 引擎 表 
里 记录 了 六 个 月 的 数据 ， 你 肯定 不 会 想 要 从 头 开 
始 。 这 时 候 就 需要 数据 库 迁 移 工具 了 。 


Alembic 是 专用 于 SQLAIchemy 的 数据 库 迁 移 工 

具 。 它 允许 你 保持 你 的 数据 库 模 式 的 版 本 历史 ， 
这 样 你 就 可 以 升级 到 一 个 新 的 模式 ， 或 者 降级 到 
日 的 模式 。 


Alembic 有 一 个 可 拓展 的 新 手 教程 ， 所 以 我 只 会 大 
概 地 说 一 下 并 指出 一 些 需要 注意 的 事项 。 


通过 一 个 初始 化 的 alembic init 命令 ， 你 将 创建 
一 个 alembic" 迁 移 环 境 "。 在 你 的 版 本 库 的 根 目录 
下 执行 这 个 命令 ， 你 将 得 到 一 个 叫 alembic 的 新 
文件 夹 。 你 的 版 本 库 将 看 上 去 就 像 Alembic 教 程 中 
BY 3k SB AF: 


myapp/ 
alembic.ini 
alembic/ 
env .py 
README 
script.py.mako 
versions/ 
3512b954651e_ add_account.py 
2b1ae634e5cd_add_order_id.py 
3adcc9a56557_rename_username_fielt 
myapp/ 
__ init__.py 
views. py 
models.py 
templates/ 
run. py 
config.py 
requirements.txt 


| __ 





ale1mbjic/ 文 件 夹 中 包括 了 在 版 本 间 迁 移 数 据 的 脚 
本 。 同 时 会 有 一 个 包括 配置 信息 的 alembic.ini 文 
件 。 


注意 把 alembic.ini 添 加 到 .gjtignore 中 ! 在 那里 
会 有 你 的 数据 库 凭 证， 所 以 你 不 应 该 把 它 留 在 
版 本 控制 中 。 


A 过 你 可 以 把 alembic/ 放 进 版 本 控制 。 它 不 会 
ep 

生成 )， 并 且 在 版 本 控制 中 保存 多 个 副本 可 以 

避免 你 的 电脑 发 生 不 测 。 

当 数 据 库 模式 需要 发 生变 化 时 ， 我 们 需要 做 一 系 

列 事情 。 首 先 ， 运 行 alembic revision 来 生成 迁 

移 脚 本 。 在 myapp/alembic/Versions/ 打 开 新 生成 

的 Python 文 件 并 使 用 Alembic 的 op 对 象 完 

成 upgrade 和 downgrade ph Ze o 


一 旦 我 们 的 迁移 脚本 已 经 准备 就 绪 ， 我 们 只 需 运 
行 alembic upgrade head 来 迁移 我 们 的 数据 到 最 
新 版 本 。 


Flask 之 旅 
参见 想 知道 更 多 关于 配置 Alembic， 创 建 你 的 
迁移 脚本 和 运行 你 的 迁移 ， 请 看 Alembic 教 程 : 
http://alembic.readthedocs.org/en/latest/tutoria 
|.html 


注意 不 要 忘记 设 定 数据 的 备份 计划 。 备 份 计 划 
的 话题 已 经 超出 本 书 的 范围 ， 但 你 应 该 总 是 要 
有 一 个 安全 和 健壮 的 方式 备份 你 的 数据 库 。 


注意 Flask 在 NoSQL 上 的 支持 较 少 ， 但 只 要 有 
你 选择 的 数据 库 引 擎 有 对 应 的 Python 库 ， 你 就 
能 够 用 上 它 。 这 里 有 一 些 Flask 插 件 ， 可 以 给 
Flask 提 供 NoSQL3 引 掌 的 支持 。 
http://flask.pocoo.org/extensions/ 


结 


CQ 


/ 


。 使 用 SQLAchemy 来 搭配 关系 型 数据 库 。 

。 使 用 Flask-SQLAIchemy 来 包装 
SQLAIchemy ° 

。Alembic 会 在 数据 库 模 式 改变 时 帮助 你 管理 数 
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dE it 43 © 

。 你 可 以 用 NoSQL 搭 配 Flask， 但 具体 做 法 取决 
于 具体 引擎。 

o 记得 备份 你 的 数据 | 





处 理 表单 


表单 是 允许 用 户 跟 你 的 Web 应 用 交互 的 基本 元 素 。 
Flask 自 己 不 会 帮 你 处 理 表单 ， 但 Flask-WTF 插 件 
允许 用 户 在 Flask 应 用 中 使 用 脸 多 人 口 的 WTForms 


包 。 这 个 包 使 得 定义 表单 和 处 理 表单 功能 变 得 轻 


>- 
D 
O 〇 


Flask-WTF 


你 首要 做 的 事 (当然 是 在 安装 Flask-WTF 之 
后 ) ， 就 是 在 myapp.forms 包 下 定义 一 个 表单 类 


(form) 。 


myapp/forms.py 


from flask_wtf import Form 


[i 


from wtforms import StringField, PasswordFiel' 
from wtforms.validators import DataRequired, | 


class EmailPasswordForm(Form): 
email = StringField('Email', validators=[I 
password = PasswordField('Password', valit 





注意 直到 0.9 版 ，Flask-WTF 为 WTForms 的 
fields 和 validators 提 供 自 己 的 包装 。 你 可 能 见 过 
许多 代码 直接 从 flask_wtforms 而 不 

是 wtforms 中 直接 导 


入 TextField ， PasswordField 村 村 。 而 从 0.9 
版 之 后 ， 我 们 得 直接 从 wtforms 中 导入 它们 。 


这 个 表单 将 用 于 用 户 注 册 表 单 。 我 们 可 以 称 之 

为 signInForm() ， 但 是 通过 保持 抽象 ， 我 们 可 以 
在 别 的 地 方 重用 它 ， 比 如 作为 登录 表单 。 如 果 我 
们 针对 特定 功能 定义 表单 ， 了 最 终 就 会 得 到 许多 相 
似 却 无 法 重用 的 表单 。 基 于 表单 中 包含 的 域 - A 
些 使 得 表单 与 众 不 同 的 元 素 - 进行 命名 ， 显 然 会 
清晰 很 多 。 当 然 ， 有 时 候 你 会 有 复杂 的 ， 只 在 一 
个 地 方 用 到 的 表单 ， 你 再 给 它 起 个 独一无二 的 名 
字 也 不 迟 。 


这 个 表单 可 以 帮 有 我们 做 一 些 事 情 。 它 可 以 保护 我 
们 的 应 用 免 遭 CSRF 伤 害 ， 验 证 用 户 输 入 ， 为 我 们 
定义 的 域 泻 染 适当 的 标记 。 


CSRF 保 护 和 了 验证 


CSRF 全 称 是 cross site request forgery > 3b 447 
求 伪 造 。CSRF 通 过 第 三 方 伪造 表单 数据 ，post 到 
应 用 服务 器 上 。 受 害 服 务 蜂 以 为 这 些 数据 来 自 于 
它 目 己 的 网 站 ， 于 是 大 意 地 中 招 了 。 


举 个 例子 ， 假 设 你 的 邮件 服务 商 允 许 你 通过 提交 
一 个 表单 来 注销 账户 。 这 个 表单 发 送 一 个 POST 请 
求 到 他 们 服务 器 的 account_delete 页 面 ， 并 且 用 
户 已 经 登录 ， 就 可 以 注销 账户 。 你 可 以 在 你 自己 
的 网 站 中 创建 一 个 会 发 送 到 同一 

个 account_delete 页 面 的 表单 。 现 在 ， 假 如 有 个 
倒霉 看 点 击 了 你 的 表单 的 'submit (或 者 在 他 们 加 
载 你 的 页 面 的 时 候 通 过 Javascript 做 到 这 一 点 ) ， 
同时 他 们 又 登录 了 邮件 账号 ， 那 么 他 们 的 账户 就 
会 被 注销 。 除 非 你 的 邮件 服务 商 知 道 不 能 假定 提 
交 过 来 的 请 求 都 是 来 自 于 自己 的 页 面 。 


所 以 我 们 怎样 判断 一 个 POST 请 求 是 否 来 自我 们 自 
己 的 表单 呢 ? WTForms 在 泻 染 每 个 表单 时 生成 一 
个 独一无二 的 token， 使 得 这 一 切 变 得 可 能 。 那 个 
token 将 在 POST 请 求 中 随 表单 数据 一 起 传递 ， 并 
且 会 在 表单 被 接受 之 前 进行 验证 。 关 键 在 于 token 


的 值 取 决 于 储存 在 用 户 的 会 话 (cookies) 中 的 一 
个 值 ， 而 且 会 在 一 定时 间 之 后 过 时 (默认 30 分 
Sp) 。 这 样 只 有 登录 了 页 面 的 人 (REY REM 
个 设备 之 后 的 人 ) 才能 ea Milani ， 而 
且 仅 仅 是 在 登录 页 面 30 分 钟 之 内 才能 这 么 做 。 


参见 
。 这 里 是 关于 WTForms 是 怎么 生成 token 的 
文档 : 
http://wtforms.simplecodes.com/docs/1.0. 


1/ext.html#module- 
wtforms.ext.csrf.session 


。 这 里 有 关于 CSRF 更 多 的 信息 : 
https://www.owasp.org/index.php/CSRF 


为 了 开始 使 用 Flask-WTF 做 CSRF 防 护 ， 我 们 得 先 
给 我 们 的 登录 页 定义 一 个 视图 。 


myapp/views.py 


from flask import render_template, redirect, | 


from . import app 
from .forms import EmailPasswordForm 


@app.route('/login', methods=["GET", "POST" ] ) 
def login(): 

form = EmailPasswordForm() 

if form.validate_on_submit(): 


# Check the password and log the user 


# [...] 


return redirect(url_for('index')) 
return render_template('login.html', form: 


二 ”¢ĉ 
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我 们 从 forms 包 中 导入 form 对 有 因 ， 并 于 视图 内 实 
例 化 。 然 后 运行 form.validate_on_submit() 。 如 
果 表 单 已 经 submit 了 (比如 通过 HTTP 方 法 PUT 或 
POST) ， 这 个 元 数 返 回 True 并 且 用 定义 

在 forms.py 中 的 验证 函数 来 验证 表单 。 


参见 validate_on_submit() 的 文档 和 源码 在 
Ji 


e http://flask- 
wtf.readthedocs.org/en/latest/api.html#fla 
sk_wtf.Form.validate_on_submit 

e https://github.com/ajford/flask- 
wtf/blob/v0.8.4/flask_wtf/form.py#L120 


如 果 一 个 表单 已 经 提交 并 且 通 过 验证 ， 我 们 可 以 
开始 处 理 登 录 逻 辑 的 部 分 了 。 如 果 它 还 没有 提交 

(比如 ， 它 只 是 一 个 GET 请 求 ) ， 我 们 需要 传递 
这 个 表单 对 象 给 模板 来 进行 浑 当 。 下 面 展示 如 何 
在 模板 中 使 用 CSRF 防 护 。 


myapp/templates/login.html 


{% extends "layout.html" %} 
<html> 
<head> 
<title>Login Page</title> 
</head> 
<body> 
<form action="{{ url_for('login') }}" 
<input type="text" name="email" /: 
<input type="password" name="pass\ 
{{ form.csrf_token }} 
</form> 
</body> 
</html> 
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{{ form.csrf_token }} 将 渔 染 一 个 隐藏 的 包括 防 
范 CSRF 的 特殊 token 的 域 ， 而 WTForms 会 在 验证 
表单 时 查找 这 个 域 。 我 们 不 用 操心 添加 的 任何 特 
殊 的 验证 token 正 确 性 的 逻辑 。 万 岁 | 


使 用 CSRFtoken 来 保护 AJAX 调 用 


Flask-WTF 的 CSRF token 不 仅 限 于 保护 表单 提 
交 。 如 果 你 的 应 用 需要 接受 其 他 可 能 被 伪造 的 请 
R (特别 是 AJAX 调 用 ) ， 你 也 可 以 给 它们 添加 


CSRF 保 护 ! 想 了 解 更 多 信息 ， 请 查看 Flask-WTF 
的 文档 : https://flask- 
wtf.readthedocs.org/en/latest/csrf.html#ajax 


自 定 义 验 证 有 函数 


除了 WTForms 提 供 的 内 置 表单 验证 函数 (上 比 

如 Required() Email() FF) ， 你 可 以 创建 自 
己 的 验证 函数 。 通 过 创建 一 个 可 用 于 检查 数据 库 
并 确保 用 户 提 供 的 值 未 曾 存 在 的 unique() E h 
数 ， 我 将 展示 这 一 点 。 这 个 函数 可 以 确保 一 个 用 
户 名 或 邮件 地 址 未 被 使 用 。 如 果 没 有 WTForms ， 
我 们 不 得 不 在 视图 中 完成 这 些 检查 ， 但 现在 我 们 
可 以 抽象 出 来 作为 form 类 的 一 部 分 


myapp/forms.py 


from flask_wtf import Form 


from wtforms import StringField, PasswordFiel« 


from wtforms.validators import DataRequired, 


class EmailPasswordForm(Form): 


email = StringField('Email', validators=[I 
password = PasswordField(' Password’, vali 
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现在 我 们 想 要 添加 一 个 验证 有 函数 来 确认 提供 的 邮 
件 地 址 未 曾 出 现在 数据 库 中 。 我 们 将 把 验证 郊 数 
放 在 一 个 新 的 util 模块 里 ， 


BP util.validators ° 


myapp/util/validators. py 





from wtforms.validators import ValidationErrol 


Class Unique(object): 


def _ init__(self, model, field, message=t 


self.model = model 
self.field = field 


def _ call (self, form, field): 


check = self.model.query.filter(self.° 


if check: 


raise ValidationError(self.messags 


‘ = 








>] 


这 个 验证 函数 假定 你 是 用 SQLAIchemy 来 定义 你 的 
模型 。WTForms 要 求 验 证 函数 返回 可 调用 的 
(callable) 类 型 (比如 一 个 可 调用 的 类 ) o 


E init .py 中， 我们 可 以 指定 哪些 参数 应 该 传递 
给 验证 函数 。 在 这 个 例子 中 我 们 需要 检查 相关 的 
模型 ida User 模型 ) 和 域 。 当 验证 函数 被 调用 
时 ， 如 果 表 单 提交 的 值 跟 定义 的 模型 的 茶 个 实例 
重复 了 ， 它 会 抛 出 一 个 validationError 。 我 们 也 
提供 一 个 带 默 认 值 的 信息 参数 ， 作 


为 validationError 的 一 部 分 。 


现 见 在 我 们 给 给 EmailPasswordForm 添加 Unique 验证 


oO 


ans 


myapp/forms.py 


from flask_wtf import Form 
from wtforms import StringField, PasswordFielt 
from wtforms.validators import DataRequired, | 


from .util.validators import Unique 
from .models import User 


Class EmailPasswordForm(Form) : 
email = StringField('Email', validators=[I 
password = PasswordField('Password', valit 





注意 你 的 验证 函数 不 一 定 需 要 是 可 调用 的 类 

它 也 可 以 是 一 个 返回 可 调用 对 象 的 工厂 类 或 者 
可 调用 对 象 。 看 这 里 的 一 些 例子 : 
http://wtforms.simplecodes.com/docs/0.6.2/vali 
dators.html#custom-validators 


ja RH 


WTForms 也 可 以 帮助 我 们 给 我 们 只 需要 表单 泻 染 
HTML 。WTForms 实 现 的 Field 类 能 根据 域 的 形 
式 演 染 对 应 的 HTML， 所 以 我 们 只 需要 在 模板 中 调 


用 它们 o WUE xe ye csrf token 域 一 样 下 面 是 
当 我 们 使 用 WTForms 来 泻 汪 我 们 的 其 他 域 时 ， 
login 模 板 大 概 的 样子 。 


myapp/templates/login.html 


{% extends "layout.html" %} 
<html> 
<head> 
<title>Login Page</title> 
</head> 
<body> 
<form action="""method="POST"> 
{{ form.email }} 
{{ form.password }} 
{{ form.csrf_token }} 
</form> 
</body> 
</html> 


通过 传递 域 的 性 质 (properties) 作 为 调用 域 的 参 
数 ， 我 们 可 以 自 定 义 域 的 泻 染 形式 。 下 面 我 们 添 
加 一 个 placeholder= 性 质 给 email 域 : 


Flask 之 旅 


<form action=""_method="POST"> 
{{ form.email.label }}: {{ form.email(pla 
{{ form.password.label }}: {{ form.passwol! 
{{ form.csrf_token }} 

</form> 
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注意 如 果 我 们 想 要 传递 HTML 属 性 “class”， 我 
们 得 使 用 class ='' ， 因 为 "class" 是 Python 的 
保留 关键 宁 。 


参见 这 个 文档 列 出 了 所 有 可 用 的 域 性 
or dt 1.0.4/fiel 
ds.html#wtforms.fields.Field.name 


注意 你 大 概 注 意 到 了 我 们 不 需要 使 用 Jinja 

的 |safe IRA o KRHA AWTFormsa CF 
理 掉 HTML 转 义 的 问题 。 在 这 里 了 解 更 多 信 

息 : http://pythonhosted.org/Flask- 
WTF/#using-the-safe-filter 
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e WTForms (YA AFlask-WTF ) 使 得 定义 ， 保 
护 和 泻 染 你 的 表单 更 加 轻松 。 

。 使 用 Flask-WTF 提 供 的 CSRF 防 范 来 保护 你 的 
表单 。 

。 你 也 可 以 使 用 Flask-WTF 来 防止 AJAX 人 调用 遵 
到 CSRF 攻 击 。 

o 定义 自 定义 的 表单 验证 函数 ， 避 免 在 视图 部 
数 中 写 入 验证 逻辑 。 

。 使 用 WTForms 的 域 泻 业 功能 来 泻 染 你 的 表单 
的 HTML， 这 样 每 次 修改 表单 的 定义 时 ， 你 不 
需要 更 新 模板 。 





用 户 管 理 的 规范 


用 户 管 理 是 现代 Web 应 用 都 需要 做 的 事情 之 一 。 
一 个 仅 有 基本 的 账户 功能 的 应 用 也 需要 处 理 一 大 
HE hoe AT > USAR > ERLE RBA EB 


密码 ， 用 户 验证 以 及 更 多 。 考 虑 到 许多 安全 问题 
都 出 现在 管理 用 户 时 ， 在 这 个 领域 最 好 遵循 普遍 
的 规范 。 


注意 在 本 章 中 我 会 假定 你 已 经 在 用 
SQLAIchemy 模 型 和 WTForms 来 处 理 你 的 表单 
输入 。 如 果 你 不 使 用 它们 ， 你 需要 修改 这 些 规 
沱 来 适应 你 喜欢 的 方法 。 


邮件 确认 


当 一 个 新 用 户 给 你 他 们 的 邮件 地 址 ， 你 通 
etek wae es a 
你 就 可 以 安心 地 发 送 密 码 重 置 链接 和 其 他 敏感 信 
息 给 该 邮箱 ， 不 用 担心 位 于 接收 端的 会 是 谁 。 


邮件 确认 的 一 个 通 第 的 规范 是 发 送 一 个 当前 独 一 

无 二 的 URL 完 码 重 置 链 接 ， 来 确认 用 户 的 电子 邮 

ea 。 举 个 例子 ，john@gmail.com 注 册 了 你 的 
你 的 应 用 把 他 登记 在 数据 库 中 ， 设 

on email_confirmed 列 为 False 并 发 送 一 封 带 特 


定 URL 的 邮件 给 john@gmail.com。 这 个 URL 通 常 
包括 一 个 独一无二 的 token， 比 如 
http://myapp.com/accounts/confirm/kj3kjhj3hj3 ° 
当 John 收 到 那 封 邮件 时 ， 他 点 击 链接 。 你 的 应 用 
看 到 了 token， 知 道 是 哪 封 邮 件 并 设置 John 


的 email confirmed 列 为 True ° 


那 我 们 怎么 知道 给 定 的 token 对 应 的 是 哪 封 邮件 ? 
一 个 方法 是 在 创建 token 时 把 它 存储 到 数据 库 中 ， 
在 我 们 收 到 一 个 确认 请 求 时 检索 数据 库 来 找到 那 
个 token。 这 需要 做 很 多 事 情 ， 而 弟 运 的 和 是， 我们 
不 必 这 人 么 做 。 


我 们 将 邮件 地 址 编码 进 token。 它 还 包括 一 个 时 间 
稚 ， 表 示 这 个 token 的 有 效 期 。 为 了 做 到 这 一 点 ， 
我 们 要 使 用 itsdangerous 包 。 这 个 包 提 供 了 在 无 
法 信赖 的 环境 中 发 送 敏感 信息 的 工具 。 (比如 发 
送 邮 件 确认 token 给 未 验证 的 邮件 地 址 ) 。 在 这 个 
例子 里 ， 我 们 将 使 用 URLSafeTimedSerializer ° 


myapp/util/security. py 


from itsdangerous import URLSafeTimedSerializ: 
from .. import app 


ts = URLSafeTimedSerializer(app.config[ "SECRE 
‘ _ 








Deter ace ali ee 我 们 可 以 使 用 这 
个 序列 器 来 生成 验证 token。 通 过 这 种 方式 ， 我 们 
来 实现 一 个 简单 的 账户 注册 流程 。 


myapp/views.py 


from flask import redirect, render_template, | 


from . import app, db 
from .forms import EmailPasswordForm 
from .util import ts, send_email 


@app.route('/accounts/create', methods=["GET" 
det cnecate=accoulnnt).: 
form = EmailPasswordForm() 
if form.validate_on_submit(): 
user = User( 
email = form.email.data, 
password = form.password.data 
) 
db.session.add(user ) 
db.session.commit ( ) 


onTrirmat 1 
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# Now we ii send the email c 


subject = "Confirm your email" 

token = ts.dumps(self.email, salt='emi 

confirm_url = url_for( 
'confirm_email', 
token=token, 
_external=True) 

html = render_template( 
'email/activate.html', 
confirm_url=confirm_url) 


# 假设 在 myapp/util,py 中 定义 了 send_mail 
send_email(user.email, subject, html) 


return redirect(url_for("index")) 


return render_template("accounts/create.hi 
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这 段 视图 实现 了 创建 用 户 并 发 送 邮 件 到 给 定 的 邮 
件 地 址 。 你 可 能 注意 到 了 ， 我 们 使 用 一 个 模板 来 
给 电子 邮件 生成 HTML。 我 们 来 看 看 这 个 电子 邮件 
模板 的 例子 。 


myapp/templates/email/activate.html 


你 的 账户 已 经 成 功 创建 <br> 
请 点 击 打开 以 下 链接 来 激活 你 的 邮箱 : 


<p> 
<a href="{{ confirm_url }}">{{ confirm_url }}: 
</p> 


<p> 
--<br> 

如 果 对 本 邮件 有 疑问 或 者 有 话 想 说 ， 发 邮件 给 hello@myapp. 
</p> 
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OK， 所 以 现在 我 们 只 需要 实现 一 个 处 理 那 个 邮件 
中 的 验证 链接 的 视图 。 


myapp/views.py 


@app.route('/confirm/<token>' ) 
def confirm_email(token): 
try: 
email = ts.loads(token, salt="email-c 
except: 
abort(404) 


user = User.query.filter_by(email=email) .° 
user .email confirmed = True 


db.session.add(user ) 
db.session.commit() 


return redirect(url_for('signin' )) 
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这 个 视图 只 是 一 个 简单 的 表单 视图 。 我 们 仅仅 在 
开头 添加 了 try ... except 来 检查 这 个 token 是 否 
有 效 。 这 个 token 和 包括 一 个 时 间 惟 ， 所 以 我 们 可 以 
调用 ts.loads() ， 如 果 它 比 max_age 还 大 ， 就 抛 
出 一 个 异常 。 在 这 个 例子 ， 我 们 设置 max_age 为 
86400 秒 ， 也 即 24 小 时 。 


注意 你 可 以 用 差不多 的 方法 实现 一 个 邮件 重 置 
的 功能 。 仅 需要 发 送 带 晶 邮件 地 址 和 新 地 址 的 
token 的 验证 链接 到 新 的 邮件 地 址 。 如 果 token 
是 有 效 的 ， 用 新 的 地 址 更 新 旧地 址 。 


存储 密码 


用 户 管 理 的 第 一 条 军 规 是 在 存储 它们 之 前 使 用 
Bcrypt 算 法 (或 者 scrypt， 不 过 这 里 我 们 将 使 用 
Bcrypt) hash 密 码 。 你 绝 不 可 明文 存储 密码 。 这 
会 是 严重 的 安全 问题 并 且 它 损害 了 你 的 用 户 。 所 
有 的 繁重 工作 都 已 经 有 第 三 方 的 包 来 完成 ， 所 以 
没有 任何 不 遵循 这 个 最 佳 实 践 的 理由 。 


参见 AN 寻 信 赖 的 关于 Web 应 

全 的 信息 来 源 之 一 。 看 一 下 他 们 推荐 的 一 
ep 编程 规范 : 
https://www.owasp.org/index.php/Secure_Codi 
ng Cheat_Sheet#Password_ Storage 


我 们 将 继续 前 进 ， 使 用 Flask-Bcrypt 插 件 来 实现 应 
用 中 popie 。 这 个 插件 只 是 基于 py-bcypt & 
的 包装 ， 但 是 它 帮 我 们 处 理 了 一 些 琐碎 的 事 〈 比 
Wyant 吉 果 之 前 检查 字符 串 编 码 ) © 


myapp/__init .py 


from flask_bcrypt import Bcrypt 


bcrypt = Bcrypt(app) 


Bcrypt 算 法 之 所 以 深 受 欢迎 ， 其 中 一 个 原因 是 它 
的 “未 来 拓展 性 "。 这 意味 着 随 着 时 间 的 迁移 ， 当 计 
算 能 力 越 来 越 廉 价 时 ， 我 们 可 以 让 它 越 来 越 难 通 
过 暴力 算法 来 测试 成 百 上 千 万 密码 组 合 来 破解 。 
我 们 用 于 hash 密 码 的 "rounds" 越 多 ， 完 成 一 次 党 
试 所 花费 的 时 间 就 越 长 。 如 果 在 存储 密码 前 ， 我 
们 把 它 hash 了 20 次 ， 骇 客 也 不 得 不 hash 他 们 的 每 


次 猜测 20 次 。 


记 住 如 果 我 们 hash 密 码 20 次 ， 需 要 等 到 计算 结 
之 后 ， 我 们 的 应 用 才 会 做 出 响应 。 这 意味 着 ， 在 
选择 计算 的 次 数 时 ， 我 们 要 取得 安全 性 和 可 用 性 
的 一 个 平衡 点 。 在 给 定时 间 内 你 能 计算 的 次 数 取 
决 于 你 拥有 的 计算 资源 ， 所 以 最 好 测试 不 同 的 数 
字 ， 找 到 能 在 0.25 到 0.5 秒 间 完 成 一 个 密码 的 hash 
的 值 。 至 少 ， 先 从 12 次 (12 rounds) 开始 尝试 
E o 
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个 简单 的 ， 用 于 hash 一 个 密码 的 Python 脚本 看 
看 。 


benchmark.py 


from flask_bcrypt import generate_password_ha: 


generate_password_hash('password1', 12) 


JE) 





现在 我 们 可 以 用 time 命令 测 几 次 看 看 。 


$ time python test.py 
real OmO .496s 


user Om0 .464s 
sys OmO . 024s 


a a AR 
现 12 rounds 正 好 能 花费 恰当 的 时 间 ， 所 以 我 在 这 
个 例子 中 这 么 配置 。 


config.py 


BCRYPT_LOG_ROUNDS = 12 


既然 Flask-Bcrypt 已 经 配置 完毕 了 ， 是 时 候 开 始 
hash 密 码 。 我 们 本 可 以 在 接受 注册 表单 的 视图 逻 
BP FL? TAG RERA ie He SE AB AS 
视图 中 ， 同 样 的 代码 还 得 一 再 重复 。 所 以 ， 我 们 
需要 抽象 hash 的 过 程 ， 这 样 即使 我 们 忘记 了 ， 
们 的 应 用 也 会 悄悄 完成 它 。 秘 诀 在 于 我 们 写 
setter > 4 37% 

时 user.password = 'password1' 时 ， Z AD AE G Nik 
之 前 就 会 被 用 Bcrypt 自 动 hash 了 。 


myapp/models.py 


from sqlalchemy.ext.hybrid import hybrid_prope 
from . import bcrypt, db 


class User(db.Model): 
id = db.Column(db.Integer, primary_key=Tr' 
username = db.Column(db.String(64), unique 
_password = db.Column(db.String(i28)) 


@hybrid_property 
def password(self): 
return self._password 


@password.setter 
def _set_password(self, plaintext): 
self._password = bcrypt.generate_pass\ 


= a 





我 们 使 用 SQLAIchemy 的 hybird (#24) 拓展 来 定 
义 一 个 同时 供 众 多 函数 调用 的 接口 属性 。 当 赋值 
给 user.password 属性 时 ， 我 们 的 Setter 会 被 自动 
调用 。 而 在 setter 内 ， 我 们 会 hash 纯 文本 密码 并 存 
健在 用 户 表 里 的 _password 列 里 。 既 然 我 们 定 

SL user.password 为 混合 属性 ， 那 么 就 可 以 通过 
这 个 属性 来 获取 _password 的 值 。 


现在 我 们 用 这 个 模型 来 实现 注册 视图 。 


myapp/views.py 


from . import app, db 
from .forms import EmailPasswordForm 
from .models import User 


@app.route('/signup', methods=["GET", "POST" ] 
def signup(): 

form = EmailPasswordForm( ) 

if form.validate_on_submit(): 


user = User(username=form. username. dai 


db.session.add(user ) 
db.session.commit () 
return redirect(url_for('index')) 


return render_template('signup.html', fori 





既然 把 用 户 加 入 到 数据 库 中 了 ， 就 可 以 实现 验证 

能 了 。 我 们 想 要 让 用 户 通过 表单 提交 他 们 的 用 
户 名 和 密码 (当然 ， 有 些 时 候 是 邮箱 和 密码 ) ， 
ee 的 密码 是 否 正 确 。 如 果 一 切 安 
好 ， 我 们 将 通过 设置 浏览 器 的 cookie 来 标记 他 们 
es a ， 通 

过 查看 cookie， 我们 就 知道 他 们 已 经 登录 过 了 。 


先 从 用 WTForms 吓 义 一 个 usernamePassword 开始 
ve, o 


myapp/forms.py 


from flask_wtf import Form 
from wtforms import StringField, PasswordFielí 
from wtforms.validators import DataRequired 


username StringField('Username', valida’ 


class UsernamePasswordForm(Form): 
password = PasswordField('Password', valií 





E _ g 


接 下 来 我 们 将 往 我 们 的 用 户 模 型 添加 一 个 方法 ， 
拿 一 个 字符 串 跟 已 存储 的 hash 过 的 用 户 获 码 作 比 


较 。 


myapp/models.py 


from . import db 
class User(db.Model): 
# [...] columns and properties 
def is_correct_password(self, plaintext) 
if bcrypt.check_password_hash(self._pi 


return True 


return False 


-| =- 





Flask-Login 


我 们 下 一 个 目标 是 定义 一 个 使 用 我 们 的 表单 类 的 
登录 视图 。 如 果 用 户 输入 正确 的 账号 ， 我 们 将 使 
用 Flask-Login 插 件 来 验证 它们 。 这 个 插件 简化 了 
处 理 用 户 会 话 和 验证 的 操作 。 


我 们 只 需 做 少量 的 配置 就 能 让 Flask-Login 用 起 来 
To 


我 们 先 在 ”init .py 定义 Flask-Login 


的 login_manager ° 


myapp/ _init__.py 


from flask_login import LoginManager 


# 创建 并 配置 应 用 
# [. 


J 


from .models import User 


login_manager = LoginManager ( ) 
login_manager.init_app(app) 
login_manager.login_view = "signin" 


@login_manager .user_loader 
def load_user(userid): 
return User.query.filter(User.id == userii 


4 a 





我 们 在 这 里 创建 一 个 叫 LoginManager 的 实例 ， 用 
我 们 的 app SHRMBLE? ELZ RUA HAH 
它 如 何 通 过 id 获取 用 户 类 。 这 是 使 用 Flask- 
Login 的 基本 配置 
参见 你 可 以 在 这 里 找到 目 定 义 Flask-Login 的 更 
多 信息 : https://flask- 
login.readthedocs.org/en/latest/#customizing- 
the-login-process 


现在 我 们 来 定义 处 理 验证 的 signin 视图 。 


myapp/views.py 


from flask import redirect, url_for 
from flask_login import login_user 


from . import app 
from .forms import UsernamePasswordForm( ) 


@app.route('signin', methods=["GET", "POST" ] ) 
def signin(): 
form = UsernamePasswordForm( ) 


if form.validate_on_submit(): 
user = User.query.filter_by(username= 
if user.is_correct_password(form.pass\ 
login_user (user ) 


return redirect(url_for('index' )) 
else: 


return redirect(url_for('signin' ) 
return render_template('signin.html', fort 


PE 





我 们 仅 需 要 从 Flask-Login import login_user & 
数 ， 检 查 用 户 的 验证 信息 ， 并 调 

用 login_user(user) o 你 使 用 logout_user() 登 
出 当前 用 户 。 


myapp/views.py 


from flask import redirect, url_for 
from flask_login import logout_user 


from . import app 


@app.route('/signout' ) 
def signout(): 
logout_user() 


return redirect(url_for('index')) 


你 总 会 需要 实现 一 个 “忘记 密码 ? "功能 来 允许 用 户 
通过 邮件 重 置 自己 的 账号 均码 。 这 个 地 方 可 能 会 

有 潜在 安全 隐患 ， 因 为 你 不 得 不 让 一 个 未 验证 的 

用 户 接 管 一 个 账户 。 我 们 将 会 使 用 类 似 于 邮件 验 

证 的 方式 来 实现 密码 重 置 的 功能 。 


N 


我 们 将 需要 一 个 表单 类 来 请 求 对 给 a pte 
置 ， 还 有 一 个 表单 来 选择 一 个 新 的 密码 (前 提 是 
ese ed pm 
A P E a viele > 
password 是 我 们 之 前 设置 过 的 混合 属性 。 


注意 不 要 发 送 蜜 码 重 置 链接 给 未 确认 的 邮箱 ! 
你 要 确保 发 送 链接 给 正确 的 人 。 


我 们 将 需要 两 个 表单 。 一 个 用 于 请 求 一 个 重 置 链 
接 ， 另 一 个 用 于 在 通过 验 十 之 后 修改 千 码 。 


myapp/forms.py 


from flask_wtf import Form 


from wtforms import StringField, PasswordFiel« 


from wtforms.validators import DataRequired, 


Class EmailForm(Form): 


email = StringField('Email', validators=[I 


class PasswordForm(Form): 


password = PasswordField('Email', validat« 


-| ëO 





假设 我 们 的 密码 重 置 表单 只 需要 密码 这 一 栏 。 许 
多 应 用 需要 用 户 两 次 输入 他 们 的 新 密码 ， 确 保 没 

有 打 错 。 为 了 实现 这 个 ， 我 们 仅 需 添加 另 一 

个 PasswordField ， 并 加 一 个 WTForms 验 证 郊 

数 EqualTo 到 主客 码 域 。 


Flask 之 旅 
参见 很 狼人 站 在 用 户 体 验 的 角度 ， 对 什么 是 设 
计 注 册 表 单 的 最 佳 方式 有 过 许多 有 趣 的 讨论 。 
我 个 人 喜欢 Stack Exchange 用 户 Roger Attrill 
说 的 一 番 话 : “我 们 不 应 该 一 再 要 求 用 户 输入 密 
码 - 我 们 应 该 要 求 输入 一 次 ， 然 后 确保 ' 忘 记 密 
码 ' 能 无 缝 且 正确 地 运行 。” 


。 你 可 以 在 User Experience Stack 
Exchange 读 到 更 多 关于 这 个 话题 的 内 
Z :http://ux.stackexchange.com/questions 
/20953/why-should-we-ask-the-password- 
twice-during-registration/21141 


Æ Smashing Magazine 的 文章 中 ， 你 可 以 
读 到 一 些 简 化 注册 和 登录 表单 的 酷 想 

法 : http://uxdesign.smashingmagazine.c 
om/2011/05/05/innovative-techniques-to- 
simplify-signups-and-logins/ 


现在 我 们 将 开始 返 出 第 一 步 ， 让 用 户 可 以 请 求 发 
送 一 个 密码 重 置 链接 给 绑 定 的 邮箱 地 址 。 


myapp/views.py 
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from flask import redirect, url_for, render_te 


from . import app 

from .forms import EmailForm 
from .models import User 

from .util import send_email, ts 


@app.route('/reset', methods=["GET", "POST" ]) 
dei reser): 
form = EmailForm() 
if form.validate_on_submit() 
user = User.query.filter_by(email=forı 


subject = "Password reset requested" 
# Here we use the URLSafeTimedSeriali: 
token = ts.dumps(user.email, salt='re 


recover_url = url_for( 
"'reset_with_token', 
token=token, 
_external=True) 


html = render_template( 
"email/recover.html', 
recover_url=recover_url) 


# Let's assume that send_email was de 
send_email(user.email, subject, html) 


return redirect(url_for('index')) 
return render_template('reset.html', form: 


e SE] 





当 表 单 接受 到 一 个 邮件 地 址 时 ， 我 们 取出 对 应 的 
用 户 ， 生 成 一 个 重 置 token， 再 发 送 一 个 重 置 密码 
URL 给 用 户 。 这 个 URL 将 引导 用 户 前 往 验 证 token 
的 视图 ， 并 让 用 户 重 置 密码 。 


myapp/views.py 


from flask import redirect, url_for, render_te 


from . import app, db 

from .forms import PasswordForm 
from .models import User 

from .util import ts 


@app.route('/reset/<token>', methods=["GET", ' 


def reset_with_token(token): 
ery: 
email = ts.loads(token, salt="recover 
except: 
abort(404) 


form = PasswordForm() 


if form.validate_on_submit(): 
user = User.query.filter_by(email=ema: 


user.password = form.password.data 


db.session.add(user) 
db.session.commit() 


return redirect(url_for('signin')) 


return render_template('reset_with_token.l 


a] = see 





我 们 将 使 用 验证 用 户 邮 箱 时 用 的 那个 token 验 证 方 
式 。 这 个 视图 传递 token 回 模板 ， 然 后 模板 会 在 表 
单 中 提交 正确 的 URL。 让 我 们 看 看 这 个 模板 到 底 


长 哈 样 。 


myapp/templates/reset_with_token.html 


{% extends "layout.html" %} 


{% block body %} 

<form action="{{ url_for('reset_with_token', | 
{{ form.password.label }}: {{ form.passwol 
{{ form.csrf_token }} 
<input type="submit" value="Change my pas: 

</form> 

{% endblock %} 





E] 


总 结 

。 使 用 itsdangerous 包 来 创建 和 验证 送 往 邮 箱 的 
token ° 
你 可 以 使 用 token 来 验证 邮箱 ， 无 论 是 在 用 户 
注册 账户 ， 还 是 修改 邮箱 ， 或 者 忘记 窒 码 的 
时 候 。 

。 使 用 Flask-Login 插 件 来 验证 用 户 ， 这 样 能 避 
免 处 理 一 堆 会 话 管理 的 麻烦 事 。 

。 总 是 设想 会 有 恶意 的 用 户 试 图 从 应 用 中 挖 气 


Flask 2 2K 
ŽA ‘fe o 
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RA 


最 终 ， 你 终于 可 以 向 全 世界 展示 你 的 应 用 了 。 是 
时 候 部 署 它 了 。 这 个 过 程 总 能 让 人 感到 受挫 ， 因 
为 有 太 多 任务 需要 完成 。 同 时 在 部 署 的 过 程 中 你 


需要 做 出 太 多 艰难 的 决定 。 我 们 会 谈论 一 些 关键 
的 地 方 以 及 我 们 一 些 可 能 的 选择 。 


托管 主机 


首先 ， 你 需要 一 个 服务 器 。 世 上 服务 器 提供 商 成 
千 ， 但 我 只 取 三 家 。 我 不 会 谈论 如 何 开 始 使 用 它 
们 的 服务 的 细节 ， 因 为 这 超出 本 书 的 范围 。 相 


反 ， 我 只 会 谈论 它们 作为 Flask 应 用 托管 商 上 的 优 
H o 


Amazon Web Services EC2 ( 
为 国情 问题 ， 让 我 们 直接 看 下 一 个 
Pe, ) 


Amazon Web Services 指 的 是 一 套 相 关 的 服务 ， 
提供 商 是 ...... 章 越 亚 马 近 1 今 日， 许多 着 名 的 初 
创 公 司 选 择 使 用 它 ， 所 以 你 或 许 已 经 听 过 它 的 大 
名 。AWS 服 务 中 我 们 最 关心 的 是 EC2 ， = 

Elastic Compute Cloud。EC2 的 最 大 的 卖点 是 你 


能 够 获得 虚拟 主机 ， 或 者 说 实例 (这 是 AWS 官 方 
称呼 ) ， 在 仅仅 几 秒 之 内 。 如 果 你 需要 快速 拓展 
你 的 应 用 ， 就 只 需 启 动 多 一 点 EC2 实 例 给 你 的 应 
用 ， 并 且 用 一 个 负载 平衡 器 (load balancer) 管 理 它 
们 。 (这 时 还 可 以 试 试 AWS Elastic Load 
Balancer ) 


对 于 Flask 而 言 ，AWS 就 是 一 个 常规 的 虚拟 主机 。 
付 上 一 些 费 用 ， 你 可 以 用 你 喜欢 的 Linux 发 行 版 启 
动 它 ， 并 安 上 你 的 Flask 应 用 。 之 后 你 的 服务 器 就 
起 来 了 。 不 过 它 意味 着 你 需要 一 些 系统 管理 知 


Te 


Heroku 


Heroku 是 一 个 应 用 托管 网 站 ， 基 于 诸如 EC2 的 
AWS 的 服务 。 他 们 允许 你 获得 EC2 的 便利 ， 而 无 
需 系 统管 理 经 验 。 


对 于 Heroku， 你 通过 git push 来 在 它们 的 服务 跨 
上 部 署 代 码 。 这 是 非 第 便利 的 ， 如 果 你 不 想 浪费 
时 间 ssh 到 服务 器 上 ， 安 装 并 配置 软件 ， 继 续 整 个 


Flask 之 旅 
常规 的 部 署 流程 。 这 种 便利 是 需要 花 钱 购买 的 ， 
尽管 AWS 和 Heroku 都 提供 了 一 定量 的 免费 服务 。 


参见 Heroku 有 一 个 如 何在 它们 的 服务 器 上 部 署 
Flask 应 用 的 教程 : 
https://devcenter.heroku.com/articles/getting- 
started-with-python 


Tees ee acess 
而 把 它 做 好 也 需要 一 些 经 验 。 通 过 配置 你 自己 
的 站 点 来 学 习 数 据 库 管理 是 好 的 ， pa 
会 想 要 外 包 给 专业 团队 来 省 下 时 间 和 精力 。 
Heroku 和 AWS 都 提供 有 数据 库 管 理 服务 。 我 个 
人 还 没 试 过 ， 但 听 说 它们 不 错 。 如 果 你 想 要 保 
障 数 据 安 全 以 及 备份 ， 却 又 不 想 要 自己 动手 ， 
值得 考虑 一 下 它们 。 


e Heroku Postgres: 
https://www.heroku.com/postgres 

e Amazon RDS: 
https://aws.amazon.com/rds/ 
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Digital Ocean 


Digital Ocean 是 最 近 出 现 的 EC2 的 竞争 对 于 。 一 
如 EC2，Digital Ocean 允 许 你 快速 地 启动 虚拟 主 
机 (在 这 里 叫 droplet) 。 n 
SSD 上 ， 而 在 EC2， 如 果 你 用 的 是 普通 服务 ， 你 
是 部 受 不 到 这 种 符 遇 的 。 对 我 而 言 ， 阳 大 的 卖点 
是 它 提供 的 控制 接口 比 AWS 控 制 面板 简单 和 容易 
多 了 。 ~~ Ocean 是 我 个 人 的 最 爱 ， 我 建议 你 
2 


在 Digital Ocean，Flask 应 用 部 署 方式 就 跟 在 EC2 
一 样 。 你 会 得 到 一 个 全 新 的 Linux 发 行 版 ， 然 后 需 
要 安装 你 的 全 套 软 件 。 


这 一 节 将 包括 一 些 为 了 向 别人 提供 服务 ， 你 需要 
务 器 上 的 软件 。 最 基本 的 是 一 个 前 置 服 
医 ， 用 来 反 向 代理 请 求 给 一 个 运行 你 的 Flask 应 


用 的 应 用 容器 。 你 通 第 也 需要 一 个 数据 库 ， 所 以 
我 们 也 会 略微 谈论 下 这 方面 的 内 容 。 


在 开发 应 用 时 ， 本 地 运行 的 那个 服务 器 并 不 能 处 
你 需要 在 应 用 容器 ， 例 如 Gunicorn， 上 运 

: o Gunicorn 接 竺 请 求 ， 并 处 理 诸如 cite 

事务 。 


要 想 使 用 Gunicorn， 需 要 通过 pip 安 

X gunicorn 到 你 的 虚拟 环境 中 。 运 行 你 的 应 用 只 
需 简单 的 命令 。 为 了 简明 起 见 ， 让 我 们 假设 这 就 
是 我 们 的 Flask 应 用 : 


app.py 


哦 s 


r> 


[R ee 


你 应 


from flask import Flask 
app = Flask(__name__) 


@app.route('/') 
def index( ): 
return "Hello World!" 


Ek] AER o aa > 使 用 Gunicorn 来 运行 
它 吧 ， 我 们 只 需 执行 这 个 命令 : 


(ourapp)$ gunicorn rocket:app 

2014-03-19 16:28:54 [62924] [INFO] Starting gl 
2014-03-19 16:28:54 [62924] [INFO] Listening i 
2014-03-19 16:28:54 [62924] [INFO] Using work 
2014-03-19 16:28:54 [62927] [INFO] Booting woi 





应 该 能 在 http://127.0.0.1:8000 看 到 “Hello 


World!” ° 


为 
进 
下 
话 


了 在 后 台 运 行 这 个 服务 器 (也 即使 它 变 成 守护 
程 ) ， 我 们 可 以 传递 -0 选项 给 Gunicorn ° 2% 
它 会 持续 运行 ， 即 使 你 关闭 了 当前 的 终端 会 


oO 


o 果 我 们 这 么 做 了 ， 当 我 们 想 要 关 财 服务 器 时 就 
会 困惑 于 到 底 应 该 关闭 哪个 进程 。 我 们 可 以 让 
Gunicorn 把 进程 ID 储存 到 文件 中 ， 这 样 如 果 想 要 
停止 或 者 重启 服务 器 时 ， 我 们 可 以 不 用 在 一 大 串 
运行 中 的 进程 中 搜索 它 。 我 们 使 用 -p <file> 选 
T 么 做 。 现 在 ， 我 们 的 Gunicorn 部 署 命令 是 


be 
E: 


(ourapp)$ gunicorn rocket:app -p rocket.pid -I 
(ourapp)$ cat rocket.pid 
63101 


4] _ Oo B 





要 想 重 新 局 动 或 者 关闭 服务 器 ， 我 们 可 以 运行 对 
应 的 命令 


(ourapp)$ kill -HUP “cat rocket.pid` # 发 送 一 个 
(ourapp)$ kill “cat rocket.pid` 





默认 下 Gunicorn 会 运 one Wo te RIX 
被 另外 的 应 用 占用 了 ， 你 可 以 通过 添加 -b 选项 
来 指定 端口 。 


(Ourapp)$ gunicorn rocket:app -p rocket.pid -| 














4 
将 Gunicorn 摆 上 前 台 


注意 Gunicorn 应 该 隐藏 于 反 向 代理 之 后 。 如 果 

你 直接 让 它 监 听 来 自 外 网 的 请 求 ， 它 很 容易 成 
和 
考验 。 只 有 在 debug 的 情况 下 你 才能 
Gunicorn 摆 上 前 人 台 ， 而 且 完 工 之 后 ， are 
重新 隐藏 到 幕后 | 


如 果 你 像 前 面 说 的 那样 在 服务 器 上 运行 
Gunicorn， 将 不 能 从 本 地 系统 中 访问 到 它 。 这 是 
因为 默认 情况 下 Gunicorn 绑 定 在 127.0.0.1。 这 意 
味 着 它 仅 仅 监 听 来 自 服 务 器 自身 的 连接 。 所 以 通 
常 使 用 一 个 反 向 代理 来 作为 外 网 和 Gunicorn 服 务 
器 的 中 介 。 不 过 ， 假 如 为 了 debug， 你 需要 直接 从 
外 网 发 送 请 求 给 Gunicorn， 可 以 告诉 Gunicorn 缘 
定 0.0.0.0。 这 样 它 就 会 监听 所 有 请 求 。 


(Ourapp)$ gunicorn rocket:app -p rocket.pid -| 

















王妃 


。 从 文档 中 可 以 读 到 更 乡 关 于 运行 和 部 署 
Gunicorn 的 信息 : 
Eee 

。Fabric 是 一 个 可 以 允许 你 不 通过 SSH 连 接 
ee 
令 的 工具 : http://docs.fabfile.org/en/latest 


Nginx 反 向 代理 


反 向 代理 处 理 公 共 的 HTTP 请 求 ， 发 送 给 Gunicorn 
并 将 响应 带 回 给 发 送 请 求 的 客户 端 ?%Nginx 有 是 一 个 
优秀 的 客户 端 ， 更 何况 Gunicorn 强 烈 建议 我 们 使 
用 它 。 


要 想 配 置 Nginx 作 为 运行 在 127.0.0.1:8000 的 
Gunicorn 的 有 反 向 代理 ， 我 们 可 以 
在 /etc/nginx/sites-available 下 给 应 用 创建 一 个 文 


件 。 不 如 称 之 为 exploreflask.com 吧 。 


/etc/nginx/sites-available/exploreflask.com 


# Redirect www.exploreflask.com to explorefla: 
server { 
server_name www.exploreflask.com; 
rewrite ^ http://exploreflask.com/ pel 


} 


# Handle requests to exploreflask.com on port 
server { 

listen 80; 

server_name exploreflask.com; 


# Handle all locations 

location / { 
# Pass the request to Gunicor! 
proxy_pass http://127.0.0.1:8( 


# Set some HTTP headers so thi 
proxy_set_header Host $host; 

proxy_set_header X-Real-IP $r« 
proxy_set_header X-Forwarded-| 





现在 在 /elcmginXsites-enabled 下 创建 该 文件 的 符 
号 链接 ， 接 着 重启 Nginx 。 


$ sudo 1n -s \ 
/etc/nginx/sites-available/exploreflask.com \ 
/etc/nginx/sites-enabled/exploreflask.com 


二 — 





你 现在 应 该 可 以 发 送 请 求 给 Nginx 然 后 收 到 来 自 应 
用 的 响应 。 


参见 Gunicorn 文 档 中 关于 配置 Nginx 的 部 分 会 
给 你 更 多 启动 Nginx 的 信息 : 
http://docs.gunicorn.org/en/latest/deploy.html# 
nginx-configuration 


ProxyFix 


有 时 ， 你 会 遇 到 Flask 不 能 恰当 处 理 转发 的 请 求 的 
情况 。 这 也 许 是 因为 在 Nginx 中 设置 的 某 些 HTTP 
报 文 头 部 造成 的 。 我 们 可 以 使 用 Werkzeug 的 
ProxyFix 来 fix 转 发 请 求 。 


app.py 


from flask import Flask 


# Import the fixer 
from werkzeug.contrib.fixers import ProxyFix 


app = Flask(__name__) 


# Use the fixer 
app.wsgi_app = ProxyFix(app.wsgi_app) 
@app.route('/') 
def index(): 
return "Hello World!" 


| 


参见 在 Werkzeug 文 档 中 可 以 读 到 更 多 关于 
ProxyFix 的 信息 : 
http://werkzeug.pocoo.org/docs/contrib/fixers/# 
werkzeug.contrib.fixers.ProxyFix 


总 结 

。 你 可 以 把 Flask 应 用 托管 到 AWS EC2 > 
Heroku 和 Digital Ocean。 ( 译 者 注 : 建议 托 
管 到 国内 的 云 平台 上 ) 

e Flask 应 用 的 基本 部 署 依赖 包括 一 个 应 用 容器 


(比如 Gunicorn ) 和 一 个 反 向 代理 (比如 
Nginx) ° 

e Gunicorn & % 3k Æ Nginx Ja # BET 
127.0.0.1 (内 部 请 求 ) 而 非 0.0.0.0 (外 部 请 
$) 

e 4% F] Werkzeug 49 ProxyFix #& & 4 Flask & M 3& 
到 的 特定 的 转发 报 文 头 部 。 


